Smart Factory Honeypot zeigt mögliche ICS-Angriffe

Originalbeitrag von Ian Heritage

Die Welt wird immer smarter, und dazu gehören auch Fabriken und Industrieanlagen, die mit Internet-of-Things (IoT)-Systemen vernetzt werden, um so die Geschäftsprozesse zu verschlanken und die Produktivität zu steigern. Aber dieses Rennen um Innovation hat seinen Preis. Infolge der Konvergenz der Betriebstechnik (Operational Technology, OT) mit der IT entstehen Bedrohungen durch veraltete Kommunikationsprotokolle, IT-Silos und Hardware, die nicht für regelmäßiges Patching ausgelegt ist. Geht es um Bedrohungen der Industrie 4.0, so spricht man oft von ausgeklügelten, von Nationalstaaten unterstützten Versuchen, die Stromversorgung zu unterbrechen oder Produktionslinien zu sabotieren. Doch in der Praxis sind „alltägliche“ Angriffe ein größeres, unmittelbares Problem. Doch neben den Schutzmaßnahmen dagegen sollten Unternehmen den defensiven Maßnahmen Vorrang einräumen. Trend Micro hat mithilfe eines Honeypots die Bedrohungen für Smart Factories untersucht.

Honeypots stellen für Sicherheitsforscher eine bewährte Methode dar, um entscheidend wichtige Erkenntnisse über die Gegner zu erhalten. Doch auch die Angreifer sind zu solchen Taktiken fähig, und die White Hats müssen sich besonders anstrengen, um ihre Systeme so zu tarnen, dass sie legitim wirken. Trend Micro präsentierte sich in dem Projekt als kleine industrielle Prototyping-„Boutique“-Beratung, mit sensiblen Projekten für hochspezialisierte Kunden. Zu diesem Zweck erstellten die Forscher eine komplette Website und Social-Media-Profile für die „Mitarbeiter“ der Firma.

Um den Honeypot authentischer erscheinen zu lassen, verwendete das Forscherteam reelle Industrial Control System (ICS)-Hardware und eine Mischung aus physischen Hosts und VMs. Mehrere Programmable Logic Controller (PLCs), Human Machine Interfaces (HMIs), getrennte Roboter- und Engineering-Arbeitsplätze sowie ein Dateiserver vervollständigten die Installation. Als Köder für die Angreifer wurden bestimmte Ports ohne Passwörter offen gelassen, um Dienste wie VNC zu ermöglichen, und Informationen wurden in Pastebin veröffentlicht, um die gefälschte Firma leichter aufzufinden.

Ergebnisse

Der Honeypot wurde in einem Kryptojacking-Angriff kompromittiert, zwei separate Ransomware-Läufe zielten darauf, und der Honeypot wurde für Betrugstricks genutzt – vor allem für das Upgrading von Handykonten der Opfer für den Kauf neuer iPhones und Einlösen von Flugmeilen für Geschenkkarten. Dies gibt einige interessante Einblicke in die Sicherheit der Smart Factory.

Erstens geht es nicht nur um ausgeklügelte, mehrstufige Versuche, Prozesse zu stören und/oder hochsensible Unternehmensinformationen zu stehlen. Diese Angriffe waren ziemlich banal, aber immer noch ausreichend, um vor allem kleineren Organisationen einige bedeutende Probleme zu bereiten.

Zweitens ist klar, dass bewährte Sicherheitsmaßnahmen funktionieren. Selbst die grundlegendsten Sicherheitsmaßnahmen, die die Forscher eingerichtet hatten, hielten Angreifer zunächst davon ab, den Honeypot zu infiltrieren. Erst als sie etwa den VNC-Port öffneten, wurde er mit Kryptowährungs-Malware infiziert.

Daher sind IT-Sicherheitsleiter, die Smart Factory-Umgebungen zu managen haben, gut beraten sicherzustellen, dass sie die Anzahl der von ihnen geöffneten Ports begrenzen und strenge Zugangskontrollrichtlinien nach dem „Prinzip der geringsten Privilegien“ befolgen.

Doch dies ist lediglich der Anfang. Diese Richtlinien sollten mithilfe zuverlässiger Sicherheitslösungen, die speziell für diese Art von Umgebungen entwickelt wurden, verbessert werden. Diese Lösungen schützen vor der Ausnutzung von Schwachstellen und ungesicherter Kommunikationskanäle und bieten zudem Einsichten in OT-Ressourcen.