Pipedream Malware: Kritische Infrastrukturen im APT-Visier

Foto: Christian Lagerek – shutterstock.com

Das US-Energieministerium, die Cybersecurity and Infrastructure Security Agency (CISA), NSA und FBI warnen in einer gemeinsamen Stellungnahme vor einer neuen APT-Bedrohung, die gezielt industrielle Steueranlagen und Kontrollsysteme ins Visier nimmt.

Pipedream Malware: Diese Geräte sind betroffen

Laut dem Sicherheitsanbieter Dragos Security, der das Hacking-Toolset im Rahmen eines ausführlichen Whitepapers (PDF) analysiert hat, handelt es sich bei Pipedream um ein “höchst potentes Offensiv-Framework für ICS-Angriffe”.

Zu den potenziell gefährdeten Systemen beziehungsweise Geräten gehören laut dem Advisory der US-Behörden unter anderem:

• SPS/PLCs von Schneider Electric

• SPS/PLCs von Omron

• OPC-UA Server

“Pipedream ist eine Sammlung von Utilities, die es ermöglichen, Windows-Geräte zu kompromittieren und SPS zu manipulieren und zu stören. Auf dem höchsten Level bieten die SPS-Komponenten dem Angreifer eine Schnittstelle, um Zielgeräte zu manipulieren”, heißt es in der Analyse von Dragos Security.

Demnach seien die Pipedream-Tools in der Lage,

• nach neuen Geräten zu scannen,

• Passwörter per Brute Force zu knacken,

• Verbindungen zu trennen und

• schließlich das Zielgerät zum Absturz zu bringen.

Das eingangs erwähnte Whitepaper von Dragos enthält auch eine genaue Auflistung der betroffenen Geräte von Schneider Electric und Omron.

Pipedream: Abwehrmaßnahmen für KRITIS-Betreiber

Department of Energy, CISA, NSA und FBI empfehlen den Betreibern kritischer Infrastrukturen – insbesondere denen im Energiesektor – Maßnahmen zu ergreifen, um ihre ICS- und SCADA-Systeme zu härten:

• ICS/SCADA-Systeme und -Netzwerke von Unternehmensnetzwerken und Internet isolieren und die Kommunikation mit strengen Perimeter-Kontrollen so weit wie möglich einschränken;

• Multifaktor-Authentifizierung für jeden Remote-Zugriff auf ICS-Netzwerke und -Devices aktivieren;

• einen Cyber Incident Response Plan entwickeln und dessen Abläufe regelmäßig üben;

• alle Passwörter auf ICS- und SCADA-Systemen (regelmäßig) ändern – insbesondere Standardkennwörter;

• Offline-Backups anlegen, um im Fall der Fälle schnell in die Recovery-Phase zu gelangen;

• Netzwerkverbindungen von ICS- und SCADA-Systemen auf spezifische Workstations (etwa für Management und Engineering) limitieren;

• Management-Systeme mit Device Guard, Credential Guard und Hypervisor Code Integrity schützen, sowie Endpoint- und Antivirus-Lösungen auf Subnetz-Ebene nutzen;

• Log-Dateien von ICS- und SCADA-Systemen sowie der Management-Subnetze erfassen und vorhalten;

• Lösung für Continuous OT Monitoring implementieren;

• Applikationen nur installieren, wenn unbedingt für den Betrieb erforderlich;

• Least-Privilege-Prinzip anwenden;

• Auf auffällige Anzeichen wie Denial of Service, getrennte Verbindungen, eigenartige Neustarts und ungewöhnlich lange Verzögerungen achten;

• Alle Systeme auf ungewöhnliche Treiber überprüfen – insbesondere ASRock (wenn normalerweise nicht vorhanden).

Die gute Nachricht: Laut Dragos wurde die Malware bislang noch nicht eingesetzt, um Schaden anzurichten. “Es handelt sich um die erste ICS-spezifische Malware, die von einem ‘State Actor’ entwickelt wurde und vor einem Einsatz identifiziert werden konnte.” (fm)