Eine klare Antwort zur Identität eines Angreifers ist in der Cyberwelt auch nach einem erfolgreichen Angriff sehr selten möglich. Nur in Ausnahmefällen, wie gegen Ende vergangenen Jahres nach dem Cyberangriff auf Rockstar Games und der Veröffentlichung von Gameplay-Inhalten zu GTA 6, wurde der Haupttäter identifiziert und verurteilt. In den meisten anderen Fällen bleiben die Fragen nach den vollständigen Motiven, den tatsächlichen Angreifer-identitäten und nach den zugrundeliegenden Organisationsstrukturen nahezu immer unbeantwortet.

In Bezug auf Cyberattacken gegen die öffentliche Infrastruktur und Industrieunternehmen ist davon auszugehen, dass die Angreifer im Bereich der organisierten Cyberkriminalität und staatlicher Dienste zu verorten sind – teilweise treten beide sogar gemeinsam auf: zum Beispiel staatliche Dienste, die kriminelle Gruppen mit operativen Aufgaben betrauen. Mit anderen Worten: Die Angreifer sind vielfach sehr gut ausgebildete Profis mit umfangreichen Ressourcen, da vielfach mit an Sicherheit grenzender Wahrscheinlichkeit auch militärische Großmächte hinter solchen Angriffen stehen.

Hochprofessionelle Angriffsmethoden

Die wirklich gefährlichen Cyberangriffe auf (I)OT-Systeme laufen in der Regel mehrstufig ab und sind sehr gut vorbereitet. Dabei kommen unterschiedliche Abfolgen aufeinander abgestimmter Einzelschritte zum Einsatz. In Anlehnung an militärische Vorgehensweisen wird daher sogar von einem „Kill Chain“ gesprochen. Darunter versteht man eine Abfolge von Handlungen zur Aufklärung und Zielidentifizierung, Entsendung von Streitkräften sowie der Angriffsausführung bis zur Zielzerstörung. Für Cyberattacken, also einem „Intrusion Kill Chain“ ist diese Darstellung sicherlich etwas überzeichnet. In Bezug auf die Einzelschritte der Ausführung trifft wohl eher der Vergleich mit einzelnen Spezialoperationen staatlicher Akteure zu – siehe beispielsweise den Anschlag auf die Nord-Stream-Pipelines und die dafür erforderliche Erkundung, Vorbereitung, Ausführung und Spurenvermeidung.

Auf jeden Fall ist beim Angriffsschutz immer von verschiedenen Angriffsvektoren auszugehen und der möglichen Aufklärung im Vorfeld ein sehr hoher Stellenwert einzuräumen – wenn der Angreifer erst einmal ins Netz eingedrungen ist und dort nach Zielsystemen sucht, ist auf jeden Fall schon erheblicher Schaden entstanden. Siehe hierzu auch die MITRE ATT&CK-ICS-Matrix mit der matrixförmigen Übersicht zu Technik, Taktik und Prozeduren möglicher Angreifer in der Dezember-Ausgabe der Computer&Automation auf Seite 19. In den meisten Fällen hat man es mit einem Advanced Persistent Threat (APT) zu tun. Laut dem Bundesamt für Sicherheit in der Informationstechnik spricht man von einem APT, wenn ein gut ausgebildeter, typischerweise staatlich gesteuerter, Angreifender zum Zweck der Spionage oder Sabotage über einen längeren Zeitraum hinweg sehr gezielt ein Netzwerk oder System angreift, sich unter Umständen darin bewegt und/oder ausbreitet und so Informationen sammelt oder Manipulationen vornimmt.

 

Die Cyber Kill Chain

Über die Aufklärungsphase wurde ein Mitarbeiter in der Organisation identifiziert, der auf Grund seiner Position über Zugriffsrechte auf das OT-Netzwerk verfügen müsste. Dieser Rechner dient zunächst als Backdoor für weitere Erkundungs- bzw. Angriffsaktivitäten, um einen dauerhaften Fernzugriffszugang in der Zielumgebung zu installieren, der für unterschiedliche Angriffsaktivitäten nutzbar ist.

© SSV

Ein Unternehmen, das vermutlich auf Grund seiner Produkte besonders häufig mit der Abwehr von Cyberangriffen zu tun hat, ist Lockheed Martin in der USA. Aus diesem Grund hat das Unternehmen ein Framework entwickelt, das unter dem Begriff „Cyber Kill Chain“ bekannt ist. Dahinter verbirgt sich ein siebenstufiges Modell zur Analyse von APT-Cyberangriffen, das sich sehr gut zum Aufbau individueller Gegenmaßnahmen eignet. Die Lockheed Martin-Methodik basiert auf den folgenden Einzelschritten:

• Aufklärung (Reconnaissance): Der Angreifer wählt ein zu den Angriffsplänen passendes Ziel aus, untersucht es so umfassend, wie erforderlich und versucht gleichzeitig potenzielle Schwachstellen zu identifizieren. Dabei entsteht ein Zielprofil, in das alle verfügbaren Informationen einfließen, die für den Angriff hilfreich sein können. In dieser Phase werden auch soziale Medien genutzt, etwa um herauszufinden, wer innerhalb einer Organisation einen Zugriff auf das OT-Netzwerk haben könnte.
• Waffenerstellung (Weaponization): Es wird eine zum Ziel passende Angriffsstrategie festgelegt und die technischen Details der geplanten Kompromittierung entwickelt. Die dafür erforderlichen Werkzeuge – in diesem Fall also die Cyberangriffswaffen – werden ausgewählt und vorbereitet. Dazu könnte beispielsweise eine spezielle Fake-E-Mail für das Spear-Phishing einer ausgewählten Zielperson gehören, die mit Hilfe geeigneter LLM-KI-Werkzeuge, wie WormGPT oder FraudGPT erstellt wird. Auch der Entwurf einer gefälschten Webseite, auf die das Angriffsopfer gelockt werden soll, um eine Schadsoftware auf dem eigenen Rechner zu installieren, erfolgt in dieser Angriffsstufe.
• Lieferung (Delivery): Die vorbereiteten Cyberwaffen werden eingesetzt und der eigentliche Angriff gestartet. In dieser Angriffsphase wird beispielsweise die zuvor erstellte Spear-Phishing- E-Mail versendet oder ein kompromittierter USB-Stick an eine Person geschickt. Jetzt wartet der Angreifer zunächst einmal ab, ob die Zielperson die gewünschte Aktion ausführt, beispielweise den Link zur Fake-Webseite anzuklicken. Gegebenenfalls muss die Delivery-Phase mehrfach in gleicher oder abgewandelter Form wiederholt werden.
• Ausnutzung (Exploitation): In der Regel geht es bei diesem Angriffsschritt darum, eine Schadsoftware (Malware) auf einem Rechner zu installieren, um dadurch einen Zugang für weitere Angriffsaktivitäten zu erhalten. Hat das geklappt, ist für den Angreifer ein wichtiger Meilenstein erreicht. Gegebenenfalls wird der angegriffene Arbeitsplatzrechner genauer untersucht. Eventuell führt die Malware schon erste Erkundungsschritte im Zielnetzwerk aus und liefert Informationen an den Angreifer, die bei der Koordinierung der weiteren Schritte hilfreich sein können.
• Installation (Installation): Die Schadsoftware wird auf einem Rechnersystem innerhalb des IT-Netzwerks dauerhaft installiert und versteckt. Dabei ist aus Angreifersicht sicherzustellen, dass die jeweilige Malware persistiert wird und auch nach einem Systemneustart wieder zur Verfügung steht. Es existiert nun so etwas, wie ein digitaler Brückenkopf (Beachhead), den der Angreifer jederzeit als Backdoor für die weiteren Aktivitäten ausnutzen kann und der möglichst lange unentdeckt bleiben soll.
• Fernsteuerung des Zielsystems (Command and Control, C&C bzw. C2): Der Angreifer könnte nun über die Malware-Backdoor beispielsweise eine umfassende OT-Netzwerk-Penetration durchführen und per Host- und Port-Discovering plus Sniffing herausfinden, welche Systeme und Dienste dort existieren. Im Falle einer schwachen OT-/IT-Netzwerksegmentierung hat der Angreifer nun umfangreiche Möglichkeiten, um seine finalen Angriffsziele zu erreichen. Bei einem sicherheitsorientieren Verbindungsprozess und den Einsatz einer Datendiode dürfte überhaupt keine Zugriffsmöglichkeit in OT-Richtung zu finden sein.
• Gezielte Aktionen (Actions on Objective): Findet der Eindringling im OT-Netzwerk eine PC-basierte Anlagensteuerung mit einer weit verbreiteten und daher bekannten IEC 61131-Laufzeitumgebung, so könnte er etwa durch entsprechende C&C-Aktivitäten eine manipulierte Firmware in die Steuerung einspielen und den Versuch unternehmen, mit einem Produktionsausfall zu drohen und ein Lösegeld zu erpressen.

Mögliche Abwehrmaßnahmen

Der Autor: Klaus-Dieter Walter ist Mitglied der Geschäftsführung bei SSV Software Systems.

© SSV Software

Die eigentliche Angriffsfläche für verschiedene Bedrohungsvektoren eines APT ist häufig deutlich größer, als angenommen. Besonders den ersten drei Angriffsstufen des zuvor beschriebenen Frameworks wird in der Praxis zu wenig Bedeutung beigemessen. Schließlich haben auch unzählige Ransomware-Angriffe mit jemandem in der Zielumgebung begonnen, der unüberlegterweise auf einen Link geklickt oder irgendeine andere unbedachte Handlung unternommen hat. Die OT/IT-Netzwerkverantwortlichen sollten davon ausgehen, dass gezielte Angriffe auf die Produktions-IT eines Unternehmens ähnlich beginnen. Sie sollten daher dafür sorgen, dass Anomalien im täglichen Datenverkehr automatisch erkannt werden.