Prosoft

Einfallstor USB-Laufwerk

13. Februar 2023, 14:24 Uhr | Robert Korherr

Industrielle Maschinen und die dort angeschlossenen Systeme sind üblicherweise mit der omnipräsenten USB-Schnittstelle ausgerüstet. Allerdings ist dieser Anschluss nicht nur bei den Anwendern, sondern auch bei den Cyberkriminellen sehr beliebt.

OT-Netzwerke werden oft ganz oder teilweise aus dem IT-Netzwerk ausgelagert, um zu verhindern, dass Online-Bedrohungen in diese Bereiche eindringen können. Viele Sicherheitsstandards und Zertifizierungen wie ISO 27001 verlangen, dass die Trennung zwischen IT- und OT-Netzwerken kontrolliert gehandhabt wird. OT-Netzwerke enthalten ICS (Industrielle Steuerungssysteme), die oft als SCADA- (Supervisory Control And Data Acquisition) System / Netzwerk oder als DCS (Distributed Control System) strukturiert sind. Diese enthalten dann Roboter, Speicherprogrammierbare Steuerungen und IIoT-Geräte, die möglicherweise Daten über eine USB-Massenspeicherschnittstelle empfangen oder ausgeben müssen.

Die Standard-USB-Massenspeicherschnittstelle an sich bietet nur sehr begrenzte Möglichkeiten, um Sicherheit zu gewährleisten. Ein USB-Gerät, das sich gemäß dem USB-Standard zu erkennen gibt, erhält im Allgemeinen einen vollen Zugriff auf die Teile des Host-Systems, die von der Art des Geräts vorgegeben werden, sei es als Massenspeichergerät oder als Tastatur.

Bösartige Hardware und elektrische Angriffe

Der Hauptakteur, der maßgeblich das Vertrauen in das USB-Protokoll verletzt hat, ist unter dem Namen BadUSB bekannt. Solche BadUSB-Geräte sind, kurz gesagt, „Betrüger“. Sie geben sich als vertrauenswürdige Laufwerke zu erkennen, führen aber tatsächlich eine böswillige Attacke aus, häufig in Form eines Keystroke-Injection-Angriffs. Das Aushängeschild für diese Art von Angriff ist der von Hak5 produzierte RubberDucky. Theoretisch könnte sogar ein Security-Token wie Yubikey so programmiert werden, dass ein bösartiger Inhalt übertragen werden kann. Dies sind keineswegs die einzigen Übeltäter, da auch andere Allzweck-Computerplattformen wie Arduino oder Raspberry Pi verwendet werden können, um denselben Angriff zu starten. Das vom Angreifer benötigte Know-how und Budget sind sehr gering, da vorgefertigte Angriffe für wenig Geld zu bekommen sind.

Der fehlende Überspannungsschutz führt zu weiterem Misstrauen gegenüber USB-Schnittstellen, da diese einfach alles, was angeschlossen wird, mit Strom versorgen. Dieses Verhalten hat den sogenannten USB-Killer erst möglich gemacht: Das Gerät verwendet die von der Schnittstelle bereitgestellte Energie zum Aufladen und entlässt dann die kumulierte elektrische Last über den USB-Port zurück in den Host. Dies verursacht eine Überspannung und häufig einen vollständigen elektrischen Ausfall des Host-Rechners. Der USB-Killer ist vergleichbar mit einem Schraubenschlüssel, der in eine sich bewegende Maschine geworfen wird. Er verwendet jedoch den USB-Anschluss und hinterlässt dabei weniger Spuren. Das Endergebnis ist ein defekter Roboter ohne wirklich erkennbare Ursache.

USB Jumping Malware

Wie kann man ein Offline-Netzwerk böswillig beeinflussen? Für die Entwickler der Malware Stuxnet war die Antwort einfach: Infiziere so viele USB-Laufwerke wie möglich, irgendwann findet die Malware ihr industrielles Zielsystem. Stuxnet wartete geduldig, bis eines Tages ein passendes Ziel erreicht war: Der Arbeitsplatz-PC eines Ingenieurs mit Zugriff auf die SPS-Geräte in der iranischen Uran-Anreicherungsanlage Natanz. Bei dem Angriff wurden schätzungsweise 1.000 Zentrifugen zerstört. Der Stuxnet-Angriff und die dazu verwendete Technologie brachten weitere ICS-spezifische Bedrohungen hervor, etwa Trisis. Trisis, auch als Triton oder Hatman bezeichnet, ist in der Lage, eine Fehlfunktion im Triconex Safety Instrumented System (SIS), einer häufig eingesetzten Logiksteuerung von Schneider Electric, zu erzwingen. Diese Steuerungen werden in erster Linie zur Verwaltung der Anlagen in Kernkraft-, Öl- und Gasproduktionswerken sowie Papierfabriken eingesetzt. Diese Angriffe können außergewöhnliche Folgen haben, wie 2019 im Technology Review des MIT berichtet wurde: „Die Schadsoftware kann Sicherheitssysteme, die entwickelt wurden, um katastrophale Industrieunfälle zu verhindern, außer Kraft setzen. Sie wurde im Nahen Osten entdeckt, doch die verantwortlichen Hacker haben es jetzt auch auf Unternehmen in Nordamerika und anderen Teilen der Welt abgesehen.“ Dies veranlasste MIT Technology Review dazu, sie als „die mörderischste Malware der Welt“ zu bezeichnen. Der Grund dafür ist ein aufsehenerregender Angriff, den TechCrunch als den Versuch, „eine saudische petrochemische Fabrik in die Luft zu sprengen“, zusammenfasste.

Die allgemein gültige Schwäche der SPSen, die bei diesen Angriffen ausgenutzt wird, ist die fehlende Verifizierung auf der Basis von kryptografischen Signaturen, da die Geräte mehr oder weniger das verarbeiten, was ihnen angeliefert wird – vorausgesetzt, das Format ist korrekt. In diesem Zusammenhang ist zu beachten, dass sich alle normalen Desktop-Computer in OT-Netzwerken natürlich mit Standard-Malware-Angriffen infizieren lassen. Ein Beispiel ist die Anfang 2020 entdeckte Ransomware Spora, die sich über generische USB-Laufwerke ausbreiten kann.