Ein aktueller Cyber Angriff richtete sich gegen ein Triconex Safety Instrumented System (SIS) des Herstellers Schneider Electric. Ziel der Attacke war es, über die SIS Schäden an der physischen Infrastruktur anzurichten. Der Cyber Angriff fiel nur auf, weil die Cyber Kriminellen versehentlich eine Sicherheitsabschaltung ausgelöst haben. FireEye, ein Spezialist für datengestützte Sicherheit mit Hauptsitz in den USA vermutet, dass die Cyber Kriminellen staatliche Unterstützung erhalten haben.
Funktionale Sicherheit als ein Must-Have
Gemäß Statement von FireEye verschafften sich die Cyber Kriminellen einen ‚Remote‘ Zugang zu einer SIS-Workstation, um den SIS-Controller neu zu programmieren. Dabei lösten sie die Ausfallsicherung der kritischen Infrastruktur aus, die automatisch die Industrieanlagen in einen sicheren Status setzte bzw. abschaltete. Bedingt durch diesen Vorfall wurde die komplette Anlage analysiert.
Exkurs
Kritische Infrastrukturen (KRITIS) sind Einrichtungen und Organisationen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. (Quelle: BSI, 2014)
Cyber Angriff: Die Analyse
Eine Gültigkeitsprüfung eines Anwendungscodes war gescheitert, das letztendlich zu einer Fehlermeldung führte. Die Schlussfolgerung seitens FireEye: Die Cyber Kriminellen beabsichtigten, das SIS zu manipulieren. Ziel soll gewesen sein, Schäden an Industrieanlagen, der Umwelt oder bei der Produktion zu verursachen. Zu diesem Zweck bedienten sich die Cyber Kriminellen der Malware ‚Triton‘. ‘Triton‘ (Trojan/ Trisis), wurde speziell entwickelt, um mit SIS-Geräten zu kommunizieren – mit dem proprietären Kommunikationsprotokoll ‚TriStation‘. Die Malware infiziert vorwiegend Windows-Computer, die mit einem SIS-Gerät verbunden sind. Die Malware injiziert einen Code, der das Verhalten des SIS-Geräts verändert.
Auch wenn FireEye keine Hinweise auf die Herkunft der Angreifer gefunden hat, gehen Sie davon aus, dass die Täter mit staatlicher Unterstützung handelten. Das sollen die für den Cyber Angriff benötigten technischen Ressourcen und das Fehlen eines finanziellen Motivs nahelegen. Zudem sei die Absicht, einen physischen Schaden zu verursachen, eher untypisch für Cyber Kriminelle.
Die Untersuchungen zu diesem Cyber Angriff laufen noch an.
Welche Branche und welche Unternehmung einer solchen Cyber Attacke zum Opfer fiel, gibt FireEye nicht bekannt. Schneider Electric bestätigte den Vorfall gegenüber der Agentur Reuters, ebenfalls ohne sich zur Identität des Kunden zu äußern.
“Dragonfly 2.0”-Kampagne
Laut Symantec greifen die Cyber Kriminellen seit Ende 2015 mit der “Dragonfly 2.0”-Kampagne wieder vermehrt industrielle Anlagen in Europa und den USA an. In Deutschland soll es der Gruppe gelungen sein, über die industriellen Steuerungssysteme dutzender Firmen Teile der jeweiligen Maschinenparks zu kontrollieren, zu manipulieren und auch zu sabotieren. Mehr über die Gruppe und Ihre Angriffe erfahren!
Präventivmaßnahmen – Plant Security
Lassen Sie es nicht soweit kommen! Wir – Yokogawa – haben ein umfassendes Konzept für die Netzwerk- und Systemsicherheit für die industriellen Prozessleitsysteme, sowie Safety Systeme (für die funktionale Anlagensicherheit) entwickelt. Die enthaltenen Lösungen schließen bekannte und häufig vorkommende interne und externe Sicherheitslücken. Sie können sowohl in neuen Systemen, als auch in Bestandssystemen eingesetzt werden. Sprechen Sie uns an, damit wir gemeinsam die richtigen Präventivmaßnahmen in die Wege leiten können, um Ihr individuelles ganzheitliches Sicherheitssystem zu realisieren.
Interessiert an anderen Beiträgen zu Automation Security? Dann stöbern Sie hier. Haben Sie Fragen oder Anmerkungen? Schreiben Sie es in die Kommentare.
Guten Tag Frau Evren
ist eigentlich bekannt welches PLS in der betreffenden Anlage zum Einsatz kommt, und ob dies ein kombinierter Angriff war? SIS & PLS
Gruß
Bernd Kogler
Hallo Herr Kogler.
Welches PLS in der betreffenden Anlage zum Einsatz kommt, und ob dies ein kombinierter Angriff war, ist uns nicht bekannt. Auf dieser Website finden Sie das aktuellste Statement von Schneider Electric vom 18. Januar 2018 zu diesem Vorfall. Für detailliertere Informationen empfehlen wir Ihnen Schneider Electric direkt zu kontaktieren.
Herzlichste Grüße,
Fatma Evren.