2021 wird als das Jahr in Erinnerung bleiben, in dem Ransomware-Banden ihre Aufmerksamkeit auf kritische Infrastrukturen richteten und Unternehmen ins Visier nahmen, die rund um Fertigung, Energieverteilung und Lebensmittelproduktion aufgebaut waren.
Allein die Ransomware Colonial Pipeline führte zur Stilllegung von 5.500 Meilen Pipeline aufgrund von Befürchtungen, dass sich der Ransomware-Angriff auf sein IT-Netzwerk auf das Betriebsnetzwerk ausbreiten würde, das die Pipeline für die Verteilung des Treibstoffs steuert.
Operational Technology (OT)-Netzwerke steuern die Geräte, die für den kontinuierlichen Betrieb von Produktionslinien, Kraftwerken und Energieversorgungen entscheidend sind, und werden daher in der Regel von den mit dem Internet verbundenen IT-Netzwerken eines Unternehmens getrennt, um kritische Hardware besser vor Cyberangriffen zu isolieren. Erfolgreiche Angriffe auf OT-Netzwerke sind selten, aber im Zuge des Colonial-Ransomware-Angriffs warnte CISA vor einem wachsende Bedrohung für Eigentümer kritischer Infrastrukturen.
Jetzt warnen Sicherheitsforscher vor den Risiken, die von eingebetteten Geräten in diesen OT-Netzwerken ausgehen. Red Balloon Security, ein Sicherheitsanbieter für eingebettete Geräte, hat in neuen Untersuchungen festgestellt, dass dies der Fall ist möglich, Ransomware einzusetzen auf eingebetteten Systemen, die in realen Netzwerken verwendet werden.
Das Unternehmen sagte, es habe Schwachstellen im Easergy P5-Schutzrelais von Schneider Electric gefunden, einem Gerät, das der Schlüssel zum Betrieb und zur Stabilität der modernen Stromnetze ist, indem es Leistungsschalter auslöst, wenn ein Fehler entdeckt wird.
Diese Schwachstelle könnte ausgenutzt werden, um eine Ransomware-Payload bereitzustellen, ein „ausgefeilter, aber reproduzierbarer“ Prozess, den Red Balloon nach eigenen Angaben erreicht hat. Ein Sprecher von Schneider Electric sagte gegenüber Technologie: „Es ist äußerst wachsam gegenüber Cyber-Bedrohungen“ und „als wir von den Schwachstellen des Easergy P5-Schutzrelais von Schneider Electric erfuhren, haben wir sofort daran gearbeitet, sie zu beheben.“
Ang Cui, Gründer und Co-CEO von Red Balloon, sagte gegenüber Technologie, dass Ransomware-Angriffe zwar IT-Netzwerke kritischer Infrastrukturanbieter getroffen haben, eine erfolgreiche Kompromittierung eines OT-Embedded-Geräts jedoch „weitaus schädlicher“ sein kann.
„Unternehmen sind nicht daran gewöhnt oder erfahren, sich von einem Angriff auf die eingebetteten Geräte selbst zu erholen“, sagte er. „Wenn das Gerät zerstört oder unwiederbringlich gemacht wird, muss ein Ersatzgerät beschafft werden, und dies kann Wochen dauern, da der Vorrat begrenzt ist.“
Der Sicherheitsveteran Window Snyder, der letztes Jahr ein Startup gegründet hat, um IoT-Herstellern dabei zu helfen, Software-Updates zuverlässig und sicher auf ihren Geräten bereitzustellen, sagte, dass eingebettete Geräte ein leichtes Ziel werden könnten, insbesondere da andere Einstiegspunkte widerstandsfähiger werden.
Apropos eingebettete Systeme: „Viele von ihnen haben keine Trennung von Rechten, viele von ihnen haben keine Trennung zwischen Code und Daten, und viele von ihnen wurden mit der Idee entwickelt, dass sie sitzen würden in Air-Gap-Netzwerken – es ist unzureichend“, sagte Snyder gegenüber Technologie.
Red Balloon sagt, dass seine Forschung zeigt, dass die in diese Geräte eingebaute Sicherheit – viele sind mehrere Jahrzehnte alt – verbessert werden muss, und fordert Endbenutzer in Behörden und kommerziellen Sektoren auf, höhere Standards von den Anbietern zu fordern, die diese Geräte herstellen.
„Die Ausgabe von Firmware-Fixes ist ein reaktiver, ineffizienter Ansatz, der die allgemeine Unsicherheit unserer geschäftskritischsten Branchen und Dienste nicht angeht“, sagt Cui. „Anbieter müssen mehr Sicherheit auf die Ebene der eingebetteten Geräte bringen.“ Er glaubt auch, dass die US-Regierung mehr Arbeit auf Regulierungsebene leisten muss, und ist der Meinung, dass mehr Druck auf Gerätehersteller ausgeübt werden muss, die derzeit keinen Anreiz haben, mehr Sicherheit auf Geräteebene einzubauen.
Snyder ist jedoch der Ansicht, dass ein regulierungsgesteuerter Ansatz wahrscheinlich nicht helfen wird: „Ich denke, das, was am meisten hilft, ist die Reduzierung der Angriffsfläche und die Erhöhung der Kompartimentierung“, sagt sie. „Wir werden unseren Weg aus sichereren Geräten nicht regulieren. Jemand muss da rausgehen und ihnen Resilienz verleihen.“