Kritische Alarmmeldung: Pro-russische Hacktivisten zielen auf globale kritische Infrastruktur durch opportunistische Angriffe

Zusammenfassung: CISA, FBI, NSA und internationale Agenturen geben gemeinsame Warnung über ungesicherte Operationstechnologie aus

Die neueste Warnung der Cybersecurity and Infrastructure Security Agency (CISA), des FBI, der NSA und einer Koalition globaler Partner unterstreicht eine bedeutende und beständige Bedrohung für unsere wichtigsten Dienste. Eine gemeinsame Cybersecurity-Advisory (AA25-343A) beschreibt, wie pro-russische Hacktivistengruppen einfache, opportunistische Taktiken nutzen, um kritische Infrastruktur weltweit zu verletzen und zu stören, mit dem Potenzial für reale physische Schäden.

Diese Advisory bietet eine weitere Gelegenheit für OT-Betreiber, ihre Sicherheitslage zu verbessern und mehr Aufmerksamkeit zu schenken an:

• Zustand der Netzwerkssegmentierung

• Zustand von Patches und Schwachstellen

• Zustand der Schulung und Befähigung der Mitarbeiter. Sind sie ausreichend geschult und befähigt, Bedrohungen zu erkennen und zu reagieren?

• Wurden Ihre Ergebnisse aus der Risikobewertung behandelt?

• Zustand der Kontoberechtigungen

• Bewerten Sie den Zustand der Incident-Response in Ihrer Organisation

Wenn Sie auf diese Aspekte achten, sollten Sie in einer starken Position sein, um diese Bedrohung abzuwehren.

Im heutigen Beitrag vertiefen wir uns in das kürzlich von CISA für OT-Betreiber ausgegebene Advisory.

Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blog über den „Strategischen Leitfaden des Werksleiters zum IEC 62443-basierten Schwachstellenmanagement“ hier zu lesen. 

Sie können die vollständige Advisory hier lesen. 

Worum geht es bei der Bedrohung durch russische Hacktivisten?

Obwohl diese Hacktivistengruppen im Allgemeinen weniger ausgefeilt als staatlich gesponserte Advanced Persistent Threats (APTs) sind, sind ihre Angriffe ebenso wenig harmlos wie 3I Atlas derzeit weit von der Erde entfernt ist. Ihre Hauptmotivation besteht darin, Unruhe zu stiften, indem sie bereitwillig verfügbare Schwachstellen für maximale mediale Aufmerksamkeit ausnutzen, um ihre Auftraggeber zu erfreuen, die möglicherweise starke Verbindungen zu russischen APT-Gruppen haben.

Was sind die wichtigsten Erkenntnisse aus dem Advisory:

• Fokus auf OT: Die Angreifer zielen hauptsächlich auf Operationstechnologie (OT) und industrielle Steuerungssysteme (ICS), die physische Prozesse wie Stromerzeugung und Wasseraufbereitung verwalten und steuern. Das bedeutet, sie konzentrieren sich auf bürgernahe kritische Infrastrukturen.

• Geringe Raffinesse, hohes Wirkungspotential: Ihre Methoden sind grob, aber effektiv und konzentrieren sich auf minimal gesicherte, internetfähige Virtual Network Computing (VNC)-Verbindungen.

• Indiskriminierende Zielwahl: Diese Gruppen sind opportunistisch und wählen Opfer basierend auf Zugangsleichtigkeit anstelle von strategischem Wert aus. Dieser breitere Ansatz umfasst Sektoren wie:

o Wasser- und Abwassersysteme

o Energiesektor

o Lebensmittel und Landwirtschaft

Der Angriff könnte möglicherweise als Welle klassifiziert werden.

• Das Ziel: Störung und physischer Schaden: Trotz ihrer technischen Einschränkungen haben diese Gruppen die Absicht und Fähigkeit gezeigt, physischen Schaden zu verursachen, was zu erheblichen Störungen, Ressourcenverlusten und der Notwendigkeit manueller Eingriffe durch Operatoren führen kann.

• Die Bedrohung und das Risiko für OT-Betreiber sind real

Die Anatomie des Angriffs

Der Erfolg dieser Hacktivisten beruht auf dem Auffinden und dem Ausnutzen schwach gesicherter Fernzugänge zu industriellen Steuergeräten, insbesondere Mensch-Maschine-Schnittstellen (HMI), die häufig über VNC verbunden sind.

Taktiken, Techniken und Verfahren (TTPs):

• Aufklärung: Scannen des öffentlichen Internets nach anfälligen Geräten mit offenen VNC-Ports (wie z.B. Port 5900).

• Erster Zugriff: Initiieren temporärer Virtual Private Server (VPS), um Passwort-Brute-Force oder Passwortspray-Software auszuführen.

• Ausnutzung: Nutzung von VNC-Software, um Zugang zu HMI-Geräten zu erhalten, häufig mit voreingestellten, schwachen oder nicht vorhandenen Passwörtern.

• Maßnahmen zum Ziel: Einmal eingedrungen, ändern sie Einstellungen auf der grafischen Oberfläche des HMIs, einschließlich:

o Ändern von Geräteeinstellungen oder Parametern.

o Ändern oder Sperren von Benutzer-Namen/Passwörtern.

o Deaktivierung von Alarmen.

o Verursachen eines „View-Verlustes“, der sofortige, manuelle, lokale Bedienerintervention erfordert.

Bekannte Gruppen, die beteiligt sind:

Die Advisory nennt ausdrücklich mehrere pro-russische Hacktivistengruppen, die an diesen Aktivitäten beteiligt sind:

• Cyber Army of Russia Reborn (CARR)

• Z-Pentest

• NoName057(16)

• Sector16

Diese Gruppen arbeiten oft zusammen und nutzen soziale Medien, um ihre erfolgreichen Eindringversuche dramatisch zu übertreiben und so Aufmerksamkeit zu erlangen.

Unmittelbare Gegenmaßnahmen

Die entscheidende Verteidigung gegen diese opportunistischen Angriffe besteht darin, den anfänglichen Kompromittierungspunkt zu beseitigen: das exponierte und schwach gesicherte OT-Asset. CISA fordert alle Eigentümer und Betreiber kritischer Infrastrukturen auf, die folgenden Maßnahmen sofort umzusetzen:

Öffentliche Internetexposition reduzieren (Die #1 Priorität)

• Zugang beschränken: Der wichtigste Schritt: Stellen Sie sicher, dass alle OT- und ICS-Assets nicht direkt dem öffentlichen Internet ausgesetzt sind.

• Angriffsflächenmanagement: Verwenden Sie automatisierte Tools, um Ihre eigenen IP-Bereiche auf exponierte VNC- oder andere Fernzugriffssysteme zu scannen, die von Dritten konfiguriert worden sein könnten.

• Netzwerksegmentierung: Implementieren Sie eine strikte Netzwerksegmentierung zwischen Ihren IT- (Information Technology) und OT-Netzwerken unter Verwendung einer robusten Demilitarisierten Zone (DMZ) für den gesamten notwendigen Datenverkehr.

• Überwachen Sie die Port-Hygiene

• Scannen Sie das Dark Web auf mögliche Veröffentlichung von Zugangsdaten

• Mitarbeiter über Vishing-Kampagnen informieren und sensibilisieren

Stärken Sie Authentifizierung und Zugriff

• Robuste Authentifizierung: Entfernen Sie Standardanmeldedaten auf allen Geräten und erzwingen Sie die Verwendung starker, einzigartiger Passwörter.

• MFA verpflichtend: Implementieren Sie Multi-Faktor-Authentifizierung (MFA), insbesondere für privilegierte Benutzer, die sicherheitskritische Änderungen an der Engineering-Logik oder den Konfigurationen vornehmen können.

• Strikte Zugriffskontrolle: Nutzen Sie Firewalls und/oder VPNs mit einer Standard-Deny-Politik für allen Datenverkehr, der nur autorisierte Ziele und Protokolle explizit zulässt.

Überwachen, auditieren, schulen und vorbereiten

• Asset-Management: Übernehmen Sie einen reifen Asset-Management-Prozess, um alle Datenflüsse und Zugangspunkte in Ihrer OT-Umgebung zu kartieren.

• Netzwerküberwachung: Sammeln und überwachen Sie aktiv Netzwerkverkehr und Protokolle auf Anomalien, die auf Aktivitäten von Bedrohungsakteuren hinweisen.

• Praxis der Ereignisreaktion: Implementieren und üben Sie regelmäßig Geschäfts- und Katastrophenwiederherstellungspläne, um eine schnelle und effektive Reaktion im Falle eines Eindringens zu gewährleisten.

Aufruf zum Handeln für OT-Gerätehersteller/OEMs

CISA fordert auch Hersteller von Operational Technology auf, einen „Secure-by-Design“-Ansatz zu verfolgen, um das Risiko zu reduzieren, bevor Produkte überhaupt kritische Systeme erreichen:

• Standardanmeldedaten eliminieren: Verlangen Sie von Anfang an eine starke Authentifizierung.

• Sicherheit als Standard: Entwerfen Sie Komponenten, die beim Anschluss an das Internet die Sicherheit priorisieren.

• Vollständige Protokollierung bereitstellen: Bieten Sie Änderungs- und Zugriffskontrollprotokolle ohne zusätzliche Kosten mit offenen Standardformaten an.

• SBOMs veröffentlichen: Bieten Sie eine Softwarestückliste (SBOM) an, um Asset-Besitzern zu helfen, Schwachstellen in zugrundeliegenden Software-Bibliotheken zu verfolgen und zu mindern.

Die kumulative Auswirkung dieser opportunistischen, wenig ausgereiften bösartigen Aktivitäten stellt eine anhaltende und störenwürdige Bedrohung für wesentliche Dienste dar. Dies könnte Teil einer erweiterten Kampagne russischer APTs sein, die von Ausbildungs-Hackern durchgeführt wird, die möglicherweise in der realen Welt durch schwache Cyberangriffe ausgebildet werden.

Durch sofortiges und entschlossenes Handeln können Organisationen der kritischen Infrastruktur ihre Verteidigungsmaßnahmen erheblich stärken und gleichzeitig ihre Gesamt-Risikoexposition reduzieren.

Sprechen Sie mit uns für eine individuelle Infoveranstaltung zu diesem Advisory.  

Erfahren Sie mehr über unsere OT Security NDR-Lösung für OT-Betreiber.