Wie funktionieren Cyberangriffe auf Pipelines und andere Industrieanlagen?

Es ist keine Neuigkeit, dass viele große Technologieinstitute einen Cyberangriff nach dem anderen erlitten haben. Aber ein Cyberangriff auf Betriebstechnologien von Industrieanlagen wie Pipelines und Kraftwerken?

Das ist dreist und erniedrigend. Und es ist kein Witz, wenn es zuschlägt. Solche Angriffe, wenn sie erfolgreich sind, blockieren den Industriebetrieb und wirken sich negativ auf die Menschen aus, die von der betroffenen Industrie abhängig sind. Schlimmer noch, es könnte eine Nation wirtschaftlich lahmlegen.

Doch wie funktionieren Cyberangriffe auf Pipelines und andere Industrieanlagen? Lass uns eingraben.

Warum Cyberangriffe auf Industrieanlagen passieren

Für die meisten von uns macht es keinen Sinn, wie und warum jemand die Chance bekommen sollte, einen digital orchestrierten Cyberangriff gegen eine mechanisch betriebene Industrieanlage zu starten.

Nun, in der Realität sehen wir jetzt künstliche Intelligenz, maschinelles Lernen und mehr digitale Technologien, die mechanische und sogar technische Operationen in Industrieanlagen übernehmen. Als solche sind ihre Betriebsdaten, logistischen Informationen und mehr jetzt im Internet und anfällig für Diebstahl und Angriffe.

Es gibt viele Gründe, warum Cyberangriffe auf Industrieanlagen wie Pipelines, Kraftwerke, Wasserversorgungsstationen, Lebensmittelindustrien und dergleichen immer häufiger werden.

Was auch immer das Motiv ist, es wird wahrscheinlich in eine der folgenden Kategorien fallen.

1. Politische, wirtschaftliche und geschäftliche Motive

Aus geschäftlicher Sicht hacken Angreifer manchmal ein industrielles System, um Informationen über chemische Formulierungen, Markenzeichen, Marktgröße, technische und Geschäftspläne usw. zu erhalten. Dies kann von einem konkurrierenden Unternehmen oder von Gründern stammen.

Aber auch die Politik spielt eine Rolle. Staatlich gesponserte Cyberangriffe beabsichtigen normalerweise, die wirtschaftliche Infrastruktur eines anderen Landes lahmzulegen, um die Stärke und die Fähigkeiten dieses Landes zu demonstrieren. Eine Möglichkeit, dies zu erreichen, besteht darin, Prozesse in Branchen zu stören, die die Wirtschaft eines Opferlandes antreiben. Und es gab hier und da Berichte über ein paar von ihnen.

2. Finanzielle Motive

Dies ist einer der häufigsten Gründe für Cyberangriffe. Angreifer können sich aus verschiedenen finanziellen Gründen in ein industrielles System hacken, vom Abrufen von Kreditkarteninformationen bis zum Stehlen von Finanzinformationen.

Dies erreichen sie in der Regel durch Schadsoftware oder Trojaner, sodass sie unbemerkt in das System eindringen können. Im Inneren können sie Daten zu technischen Prozessen absaugen. Der Hacker kann dann die gestohlenen Informationen auf dem Schwarzmarkt jedem Interessierten anbieten.

Eine andere Möglichkeit, Geld zu verdienen, ist die Ransomware-Injektion, bei der die Angreifer die Daten des Ziels verschlüsseln und das Passwort dann für eine saftige Summe verkaufen.

Verwandt: Was ist Ransomware und wie können Sie sie entfernen?

Es gibt auch verteilte Denial-of-Service-Angriffe (DDoS), bei denen mehrere infizierte Computer gleichzeitig auf die Website eines Ziels zugreifen und so deren Systeme überfordern. Dies verhindert, dass Kunden sich an das besagte Unternehmen wenden, bis sie den Angriff stoppen.

Wie funktionieren diese Cyberangriffe? Bemerkenswerte Beispiele

Jetzt haben Sie die wichtigsten Gründe für Cyberangriffe auf Industrieanlagen kennengelernt. Lassen Sie uns anhand dieser bemerkenswerten Beispiele einen Einblick in die Funktionsweise gewinnen.

1. Die Kolonialpipeline

Die Colonial Pipeline bewegt täglich etwa 3 Millionen Barrel Erdölprodukte innerhalb der USA. Es ist die größte Kraftstoffpipeline in den USA. Natürlich kann man sich die Schwierigkeit vorstellen, ein so komplexes System zu hacken.

Aber das Undenkbare geschah. Die Nachricht von seinem Hack machte im Mai 2021 Schlagzeilen, als Präsident Joe Biden aufgrund von Knappheit an Kerosin und Panikkäufen von Benzin und Heizöl den Ausnahmezustand ausrief. Dies geschah, nachdem die Pipeline aufgrund des Cyberangriffs alle Operationen eingestellt hatte.

Wie haben Hacker den Betrieb der Colonial Pipeline lahmgelegt? Über Ransomware. Spekulationen zufolge waren die Angreifer wochenlang unbemerkt im Netz der Pipeline gewesen.

Nach dem Zugriff auf das Netzwerk der Pipeline mit dem durchgesickerten Passwort und dem Benutzernamen eines Mitarbeiters, der auf der dunkles Netz, injizierten die Angreifer Schadsoftware in das IT-System der Pipeline, verschlüsselten ihr Abrechnungsnetzwerk und hielten sie als Geiseln. Sie gingen dann weiter, um etwa 100 Gigabyte an Daten zu stehlen und forderten ein Lösegeld, das in Bitcoin gezahlt wurde, als Gegenleistung für die Entschlüsselung.

Wie sind der besagte Benutzername und das Passwort im Dark Web durchgesickert? Niemand war sich sicher. Ein möglicher Täter ist jedoch Phishing, das auf Mitarbeiter der Colonial Pipeline abzielt.

Verwandt: Wer steckte hinter dem kolonialen Pipeline-Angriff?

Obwohl dieser Angriff keine digital betriebenen mechanischen Systeme betraf, hätte die Wirkung der Ransomware verheerender sein können, wenn Colonial Pipeline trotz des Cyberangriffs weitere Operationen riskiert hätte.

2. Oldsmar Wasserversorgungssystem (Florida)

Im Fall des Oldsmarer Wasserversorgungssystems übernahmen die Hacker die virtuelle Kontrolle über die chemische Aufbereitungsinfrastruktur durch TeamViewer, eine Bildschirmfreigabe-Software, die vom technischen Team verwendet wird.

Einmal drinnen, ging der Angreifer direkt in das Behandlungskontrollsystem der Einrichtung und erhöhte das Level Natriumhydroxid, das dem Wasser bis zu einem toxischen Niveau zugesetzt wird – genau zwischen 100 und 11.100 Teilen pro Million (ppm).

Hätten die diensthabenden Mitarbeiter diesen lächerlichen Anstieg der Chemikalienkonzentration nicht bemerkt und auf den Normalwert gebracht, wollten die Hacker Massenmord begehen.

Wie haben diese Angreifer TeamViewer-Anmeldeinformationen erhalten, um aus der Ferne auf die Mensch-Maschine-Schnittstelle zuzugreifen?

Sie müssen zwei Schwachstellen in Oldsmars Kontrollsystem ausgenutzt haben. Zunächst verwendeten alle Mitarbeiter dieselbe TeamViewer-ID und dasselbe Passwort, um auf das gehackte System zuzugreifen. Zweitens war die Software des Systems veraltet, da es unter Windows 7 lief, das laut Microsoft aufgrund des eingestellten Supports anfälliger für Malware-Angriffe ist.

Die Hacker müssen sich entweder brutal eingedrungen oder das veraltete System mit Malware ausgespäht haben.

3. Ukrainische Umspannwerke

Nach einem Cyberangriff auf das ukrainische Stromnetz im Dezember 2015 wurden rund 225.000 Menschen in die Dunkelheit gestürzt. Diesmal nutzten die Angreifer BlackEnergy, eine vielseitige Malware zur Systemsteuerung, um ihr Ziel zu erreichen.

Aber wie haben sie einen Weg gefunden, diese Malware in eine so große Industrieanlage einzuschleusen?

Die Hacker hatten zuvor vor dem Angriff eine massive Phishing-Kampagne gestartet. Die Phishing-E-Mail verleitete die Mitarbeiter dazu, auf einen Link zu klicken, der sie dazu aufforderte, ein als Makro getarntes bösartiges Plugin zu installieren.

Das besagte Plugin ermöglichte es dem BlackEnergy-Bot, das Grid-System erfolgreich durch Hintertür-Zugriff zu infizieren. Die Hacker erhielten dann VPN-Zugangsdaten, die es den Mitarbeitern ermöglichen, das Grid-System aus der Ferne zu steuern.

Im Inneren nahmen sich die Hacker Zeit, um die Prozesse zu überwachen. Und wenn sie fertig waren, loggten sie die Mitarbeiter aus allen Systemen aus und übernahmen die Kontrolle über den Supervisory Control and Data Acquisition (SCADA)-Prozessor. Anschließend deaktivierten sie die Notstromversorgung, schalteten 30 Umspannwerke ab und nutzten Denial-of-Service-Angriffe um Ausfallmeldungen zu vermeiden.

4. Der Triton-Angriff

Triton ist ein Malware-Skript, das hauptsächlich auf industrielle Steuerungssysteme abzielt. Seine Stärke wurde spürbar, als eine Gruppe von Hackern es 2017 in ein von Experten vermutetes petrochemisches Kraftwerk in Saudi-Arabien injizierte.

Dieser Angriff folgte auch dem Muster von Phishing und wahrscheinlichem Brute-Force-Erzwingen von Passwörtern, um einen ersten Hintertürzugriff auf Kontrollsysteme zu erhalten, bevor die Malware injiziert wird.

Anschließend verschafften sich die Hacker Fernzugriff auf den Arbeitsplatz des sicherheitsgerichteten Systems (SIS), um zu verhindern, dass sie Fehler korrekt melden.

Verwandt: Was ist ein Supply Chain Hack und wie können Sie sicher bleiben?

Es schien jedoch, dass die Angreifer erst die Funktionsweise des Systems lernten, bevor sie einen tatsächlichen Angriff starteten. Während sich die Hacker umherbewegten und das Kontrollsystem optimierten, wurde die gesamte Anlage dank einiger Sicherheitssysteme, die einen Fail-Safe aktivierten, abgeschaltet.

5. Der Stuxnet-Angriff

Stuxnet ist ein Computerwurm, der hauptsächlich auf speicherprogrammierbare Steuerungen (SPS) in Nuklearanlagen abzielt. Der Wurm, der von einem gemeinsamen US-amerikanischen und israelischen Team entwickelt wurde, reist per USB-Flash mit einer Affinität zum Windows-Betriebssystem.

Stuxnet funktioniert, indem es Steuerungssysteme übernimmt und vorhandene Programme optimiert, um Schäden in SPSen zu verursachen. Im Jahr 2010 wurde es als Cyberwaffe gegen eine Urananreicherungsanlage im Iran eingesetzt.

Nachdem der Wurm über 200.000 Computer in der Einrichtung infiziert hatte, programmierte er die Drehanweisungen der Uran-Zentrifuge neu. Dies führte dazu, dass sie sich abrupt drehten und sich dabei selbst zerstörten.

6. JBS Fleischverarbeitungsanlage

Da der Gewinn unmittelbar bevorsteht, werden Hacker die Lebensmittelindustrie nicht von ihren Expeditionen ausnehmen. Finanzielle Motive trieben Hacker im Juni 2021 dazu, Operationen bei JBS, dem weltweit größten Fleischverarbeitungsbetrieb, zu entführen.

Folglich schloss das Unternehmen alle Betriebe in Nordamerika und Australien. Dies geschah einige Wochen nach dem Angriff der Colonial Pipeline.

Wie verlief der Angriff auf die JBS-Industrieanlage?

Wie im Fall der Colonial Pipeline infizierten die Angreifer das Fleischverarbeitungssystem von JBS mit Ransomware. Sie drohten dann, hochkarätige Informationen zu löschen, sollte das Unternehmen kein Lösegeld in Kryptowährung zahlen.

Industrielle Cyberangriffe folgen einem Muster

Obwohl jeder dieser Angriffe einen Aktionsplan hat, können wir daraus schließen, dass Hacker Authentifizierungsprotokolle verletzen mussten, um einen ersten Zugang zu erhalten. Dies erreichen sie durch Brute-Forcing, Phishing oder Sniffing.

Anschließend installieren sie beliebige Malware oder Viren auf dem industriellen Zielsystem, um ihre Ziele zu erreichen.

Cyberangriffe auf Industrieanlagen sind verheerend

Cyberangriffe nehmen im Internet zu und werden erschreckend lukrativ. Wie Sie gesehen haben, wirkt sich dies nicht nur auf die Zielorganisation aus, sondern breitet sich auch auf die Menschen aus, die von ihren Produkten profitieren. Mechanische Operationen selbst sind nicht per se anfällig für Cyberangriffe, aber die kontrollierenden digitalen Technologien dahinter machen sie anfällig.

Dabei ist der Einfluss digitaler Steuerungssysteme auf technische Prozesse wertvoll. Industrien können nur ihre Firewalls verstärken und strenge Sicherheitsregeln, Kontrollen und Abwägungen befolgen, um Cyberangriffe zu verhindern.

Die 6 besten Sicherheitspraktiken für Webanwendungen zur Verhinderung von Cyberangriffen

Das Verhindern von Cyberangriffen ist von entscheidender Bedeutung. Wenn Sie Web-Apps intelligent verwenden, können Sie sich online schützen.

Weiter lesen

Über den Autor