Cyberterroristen in der Honeypot-Falle
Woher die meisten IT-Angriffe stammen
Industrieanlagen geraten immer häufiger ins Visier von Cyberkriminellen. Doch aus welchen Ländern kommen eigentlich die meisten dieser Angriffe? Das Sicherheitsunternehmen Trend Micro wollte es genau wissen und hat Hacker zu diesem Zweck in die Falle gelockt.
Stuxnet, Duqu oder Flame haben die Sicherheit von ICS-Systemen (»industrial control systems«) und SCADA-Netzen (»supervisory control and data acquisition networks«) bereits in die öffentliche Diskussion gerückt. Genau auf eine solche Infrastruktur sollten die Hacker reagieren und Angriffe starten. Dazu haben die Sicherheitsforscher von Trend Micro eine entsprechende Anlage einfach simuliert. Diese so genannte Honeypot-Architektur sollte die Hacker anlocken und ahmte deshalb ICS- und SCADA-Geräte nach, die meistens mit dem Internet verbunden sind. Um eine realistische Umgebung abzubilden, enthielten die drei Honeypots (Honigtöpfe) herkömmliche Schwachstellen, wie sie in den meisten Systemen dieser Art vorkommen. Konkret ging es den Forschern darum zu prüfen, wer welche Teile der mit dem Internet verbundenen ICS-/SCADA-Geräte angreift und wozu das geschieht. Zudem wollte das Team herausfinden, ob die Angriffe auf diese Systeme zielgerichtet ausgeführt werden.
Für die Angreifer erschien die »Falle« wie eine Kleinstadt in den USA mit 8.000 Einwohnern. Dort erstellten die Sicherheitsforscher in einer – fiktiven – Pumpstation ein Wasserdruck-Kontrollsystem, das im Internet sichtbar ist. Lediglich die Wasserpumpen selbst existieren nicht, alle anderen Komponenten sind vorhanden. Dazu zählen neben den Steuerungseinheiten für die Wasserpumpen sowie den Computern auch die online abrufbaren technischen Dokumentationen der Pumpstationen, die entsprechend präpariert waren und angeblich von der Stadtverwaltung stammen.
Ein Köder, den viele Angreifer gerne schluckten. Innerhalb eines knappen Monats verzeichnete das Sicherheitsunternehmen immerhin 39 Angriffe aus 14 Ländern. Aus China kamen mit 35 Prozent die meisten, gefolgt von den USA mit 19 Prozent und Laos mit zwölf Prozent. Zwölf Angriffe lassen sich als »gezielt« klassifizieren, 13 wurden von einem oder mehreren Absendern an mehreren Tagen wiederholt ausgeführt. Die restlichen 14 Angriffe, allesamt ebenfalls gezielt, werden derzeit noch weiter untersucht. »Über die Motive der Angreifer können wir nur spekulieren. Es zeigt sich aber, dass ein buchstäblich weltweites Interesse an einer so harmlosen Sache wie Wasserpumpen besteht. Während manche Angreifer vor allem an den technischen Details interessiert waren, versuchten andere, die Systeme zu beeinflussen oder zu zerstören. Die Angreifer kommen nicht nur aus China, sondern auch aus den USA und Ländern wie Laos«, kommentiert Udo Schneider, Senior Manager PR Communications bei Trend Micro. Das sei zwar nicht der oft Cyberwar, aber sicher die Vorstufe zu Cyberterrorismus. »Wer industrielle Steuerungssysteme ausspioniert und sie zu manipulieren versucht, lässt die Grenzen zwischen Wirtschaftsspionage und destruktiven Aktionen verschwimmen«, so Schneider. Das sei nicht nur wirtschaftlich schädlich, sondern unter Umständen sogar lebensgefährlich.
Lesen Sie mehr zum Thema
