Neuartige Angriffe auf kritische Infrastrukturen fordern Betreiber
News | 13.11.2023
Ende 2022 reagierte Mandiant auf einen Vorfall im Bereich der Cyber-Physik, bei dem der Bedrohungsakteur Sandworm eine ukrainische kritische Infrastrukturorganisation angriff.
Bei dem Angriff wurde eine neuartige Technik eingesetzt, die industrielle Kontrollsysteme (ICS) und Betriebstechnik (OT) angreift und während der Raketenangriffe in der Ukraine einen ungeplanten Stromausfall verursacht.
Sandworm setzte eine neue CADDYWIPER-Variante in der IT-Umgebung des Opfers ein und demonstrierte damit die Weiterentwicklung der cyber-physischen Angriffsmöglichkeiten nach der Invasion in der Ukraine.
Der Angriff hat gezeigt, wie ausgereift das offensive OT-Arsenal ist und dass es in der Lage ist, neuartige Bedrohungsvektoren zu erkennen und rasch Fähigkeiten zu entwickeln.
Das Eindringen begann im Juni 2022, als sich Sandworm über einen Hypervisor, der eine SCADA-Verwaltungsinstanz hostet, OT-Zugang verschaffte. Der Angreifer hatte potenziell bis zu drei Monate lang Zugriff auf das SCADA-System. Am 10. Oktober verwendete Sandworm ein ISO-Image, um bösartige Steuerbefehle auszuführen, was zu einem ungeplanten Stromausfall führte. Zwei Tage später wurde eine neue CADDYWIPER-Variante in die IT-Umgebung des Opfers eingeschleust.
Trotz der Entfernung der forensischen Artefakte hatte dies keine Auswirkungen auf den Hypervisor oder die virtuelle SCADA-Maschine, was auf einen möglichen Mangel an Koordination zwischen den Angreifern hindeutet.
Der Angriff machte deutlich, dass der Angreifer (vermutlich von russischem Terretorium aus) in offensive OT-Cyber-Fähigkeiten investiert.
Die Umstellung von Sandworm auf schlanke, leichtgewichtige Techniken, deutet auf eine höhere Geschwindigkeit und einen größeren Umfang hin, was eine Entdeckung erschwert.
Der Zeitpunkt des Angriffs fiel mit russischen kinetischen Operationen zusammen, was auf einen strategischen Einsatz und einen hybriden Krieg hindeutet.
Die sich entwickelnde Taktik von Sandworm unterstreicht die Prioritäten Russlands bei OT-Angriffen und spiegelt eine Verlagerung von den Blackout-Ereignissen in der Ukraine 2015-2016 hin zu gezielteren, strafferen Ansätzen wider.
Es besteht auch eine Verbindung zwischen dem Sandworm-Angriff vom Juni 2022 und dem Volt Typhoon-Angriff auf kritische US-Infrastrukturen. Um sein Ziel zu erreichen, legt Volt Typhoon ebenfalls großen Wert auf Tarnung und setzt fast ausschließlich auf die Methode "Living off the Land".
Mehr dazu auf mandiant.com.
Die Entwicklung von Cyberangriffen und der zunehmende Trend zu Angriffen auf OT-Systeme bedrohen das vollständige Funktionieren kritischer Infrastrukturen in einem hybriden Krieg. IT- und OT-Sicherheit sind kein identisches Konzept. Der Schutz kritischer Infrastrukturen vor Cyberangriffen ist eine strategisch wichtige Aufgabe, die die Implementierung umfassender Cybersicherheitslösungen für industrielle Kontrollsysteme (ICS) und OT-Systeme erfordert.
Lösungen der weltweit führenden Hersteller Claroty, Rhebo, Siga, Waterfall, Nanolock, OPSWAT, Armis sind die beste Wahl für den Schutz kritischer Infrastrukturen.
Software- und Hardware-Komplexe dieser Hersteller werden weltweit erfolgreich eingesetzt und haben ihre Effizienz in verschiedenen Branchen bewiesen: Brennstoff- und Energiekomplex, Wasserversorgung, Bergbau, Gesundheitswesen, Maschinenbau, Lebensmittel-, Chemie- und Pharmaindustrie, Verkehrsinfrastruktur und andere.
Bitte kontaktieren Sie die Spezialisten von Softprom für eine Beratung zu einem unserer OT-Security-Partner: Claroty, Rhebo, Siga, Waterfall, Nanolock, OPSWAT, Armis
Teilen:
