Die Gefahr von Angriffen auf kritische Infrastrukturen wurden bisher von Kritikern für überbewertet und weitgehend theoretisch gehalten. Doch die wachsende Zahl erfolgreich angegriffener Organisationen spricht eine andere Sprache. Zurzeit gibt es eine Vielzahl von Medienberichten zum Ransomware-Angriff auf die Colonial Öl-Pipeline und seine Auswirkungen in den Vereinigten Staaten, ausgelöst durch die Cybergang DarkSide. Tatsächlich ist seitdem viel passiert - US-Präsident Joe Biden hat eine Verfügung zur Verbesserung der Cyber-Abwehr des Landes unterzeichnet und das Unternehmen hat den Betrieb der Pipeline wieder aufgenommen. Zugleich behauptet DarkSide, dass Ihre Server offline sind und in Medienberichten ist davon zu lesen, dass Colonial Pipeline der Bande 5 Millionen Dollar Lösegeld gezahlt hat.
Obwohl die Untersuchung des Angriffs noch andauert, kann man jetzt schon feststellen: Der Übeltäter Win32/Filecoder.DarkSide wird seit Oktober 2020 erkannt. Die Angreifer haben also keinen völlig unbekannten, hochgefährlichen, staatlich geförderten Zero-Day-Exploit für ihren Angriff verwendet.
Seit Jahren stellen wir fest, dass potenzielle Angreifer heimlich und leise kritische Infrastruktur auf ihre Angreifbarkeit hin untersuchen und hin und wieder sogar Angriffe auf bestimmte, herausragende Ziele starten, wie in den oben genannten Fällen. Diese Aktivitäten setzen sich fort. Als diese Angriffe stattfanden, wurden wir gefragt, ob wir ähnliche Angriffsversuche in Nordamerika sehen würden. Wir haben das bejaht und wir hatten recht.
Es ist interessant, dass auch im Fall von NotPetya (auch bekannt als Diskcoder.C) die spezifischen Teile des Angriffs für sich genommen keine besonderen Zero-Day-Exploits waren. Die Realität ist, dass die Angreifer in der gegenwärtigen Situation keine wertvollen Zero-Day-Lücken aufs Spiel setzen müssen. Sie kommen auch ohne sie ans Ziel.
Verwandter Artikel: Exchange Server werden von mindestens 10 APT‑Gruppen angegriffen
Verwendet man ausreichend Zeit auf die Analyse des Netzwerks und der Infrastruktur eines Angriffsziels, dann sind speziell zugeschnittene Angriffssequenzen bei einer Vielzahl von herkömmlichen Bedrohungen überraschend effektiv, das wissen wir seit Jahren.
Niedrig hängende, reife Früchte
Obwohl Betreiber kritischer Infrastrukturen in den letzten Jahren erhebliche Anstrengungen zur Verbesserung der IT-Sicherheit unternommen haben, haben Sie immer noch mit jahrzehntealten Geräten, Netzwerkequipment und Kommunikationsprotokollen zu kämpfen. Das heißt zum Beispiel, dass sie kaum mehr als serielle Protokolle (ohne Sicherheit) verwenden, Modbus, was nicht viel besser ist, oder ähnliches Equipment, das genauso unsicher ist. Sie haben die Sicherheit ihrer Gateways verbessert und Fortschritte gemacht, doch es ist immer noch relativ leicht, Lücken in der Abwehr zu finden. Sie bauen den Einsatz sicherer Kommunikationstechnologien aus, doch die Bemühungen sind noch im Entstehen begriffen.
Betrachtet dazu man auch die Auswirkungen und finanziellen Kosten des Herunterfahrens kritischer Infrastrukturen, die wir für selbstverständlich halten, dann wird klar, welches Erpressungspotenzial Angreifer dort sehen. Die Früchte hängen niedrig und sind reif für die Ernte.
In der Zwischenzeit versuchen Betreiber kritischer Infrastrukturen, Sicherheitsspezialisten aus dem Silicon Valley anzulocken, um auf einsamen Berggipfeln, der wichtige Einrichtung mit veralteter Technologie abzusichern. Ein solches Angebot ist wenig verlockend und kann natürlich kaum mit einem angesagten Startup in einer Metropole konkurrieren.
Wenn jedoch die Lichter, das Wasser, der Kraftstoff plötzlich versiegen oder die Kommunikationsnetze ausfallen, dann ist damit zu rechnen, dass die Sicherheit kritischer Infrastrukturen erneut im Fokus steht.
Solange wird es, trotz beträchtlichen Bemühungen zur Vereitelung von Ransomware, höchst beunruhigend bleiben, dass Angreifer mit alten Sicherheitslücken Erfolg haben können, vor denen wir uns schon lange sicher wähnen.