Angriffe auf deutsche Zulieferer für Industrieunternehmen

Unternehmen weltweit über zielgerichtete Phishing-Mails angegriffen. Angreifer nutzten Mimikatz-Programm.

Bereits Anfang 2020 wurde über eine Reihe zielgerichteter Angriffe auf Industrieunternehmen in verschiedenen Regionen berichtet. Nach Analysen des Kaspersky ICS CERT [1] konzentrierten sich diese auf Systeme in Japan, Italien, Deutschland und Großbritannien. Die Angreifer hatten dabei Anbieter von Geräten und Software für Industrieunternehmen im Visier und nutzten infizierte Microsoft-Office-Dokumente, PowerShell-Skripte und verschiedene Techniken, die eine Erkennung und Analyse der Malware schwierig gestalten, wie beispielsweise Steganografie [2], eine Technologie zum Verbergen von Daten.

 

Angriffe auf Industrieobjekte sind hochentwickelt und ziehen diverse Konsequenzen nach sich: von erfolgreicher Industriespionage bis hin zu erklecklichen finanziellen Verlusten. Die Experten von Kaspersky haben nun eine Reihe von Angriffen untersucht, deren anfänglicher Angriffsvektor Phishing-Mails waren, die für jedes Opfer individuell sprachlich angepasst wurden. Die verwendete Malware führte nur dann Aktivitäten aus, wenn die Sprache des Betriebssystems mit der in der Phishing-Mail übereinstimmte. Im Falle eines Angriffs auf ein japanisches Unternehmen wurden beispielsweise der Text der Mail und das mit schädlichen Makros kompromittierte Microsoft-Office-Dokument auf Japanisch verfasst. Um das Malware-Modul erfolgreich zu entschlüsseln, musste das Betriebssystem zudem über eine japanische Lokalisierung verfügen.

 

Eine genauere Analyse zeigte, dass die Angreifer das Programm Mimikatz [3] verwendet haben, um die Authentifizierungsdaten von Windows-Konten des kompromittierten Systems zu stehlen. Diese Informationen können von Angreifern verwendet werden, um Zugriff auf weitere Systeme im Unternehmensnetzwerk zu erhalten und weitere Angriffe zu entwickeln. Angreifer erhalten damit auch Zugriff auf Konten mit Domänenadministratorrechten.

 

In allen entdeckten Fällen wurde die Malware durch Sicherheitslösungen von Kaspersky blockiert, die Angreifer konnten ihre Aktivitäten daher nicht fortsetzen. Infolgedessen bleibt das endgültige Ziel der Kriminellen unbekannt.

 

»Diese Angriffe erregten aufgrund mehrerer nicht standardmäßiger technischer Lösungen, die von den Angreifern verwendet wurden, unsere Aufmerksamkeit«, erklärt Vyacheslav Kopeytsev, Sicherheitsexperte bei Kaspersky. »Beispielsweise wird das Malware-Modul mithilfe von Steganografiemethoden im Image codiert, das Image selbst wird dabei auf legitimen Webressourcen gehostet. Das macht es fast unmöglich, den Download solcher Malware mithilfe von Lösungen zur Überwachung und Steuerung des Netzwerkverkehrs zu erkennen: Aus Sicht technischer Lösungen unterscheidet sich diese Aktivität nicht von dem üblichen Zugriff auf ein legitimes Image-Hosting. In Verbindung mit den anvisierten Zielen dieser Infektionen zeigen diese Techniken eine ausgefeilte und selektive Natur der Angriffe. Es ist besorgniserregend, dass insbesondere industrielle Auftragnehmer zu den Opfern des Angriffs gehören. Wenn die Authentifizierungsdaten von Mitarbeitern der Zuliefererorganisation in die falschen Hände geraten, kann dies zu vielen negativen Konsequenzen führen – angefangen beim Diebstahl vertraulicher Daten bis hin zu Angriffen auf Industrieunternehmen durch vom Auftragnehmer verwendete Remoteverwaltungstools.«

 

»Der Angriff auf industrielle Auftragnehmer zeigt, dass es für einen zuverlässigen Betrieb von entscheidender Bedeutung ist, sicherzustellen, dass sowohl Workstations als auch Server geschützt sind – sowohl in Unternehmens- als auch in betrieblichen Technologie-Netzwerken«, ergänzt Anton Shipulin, Solution Business Lead bei Kaspersky Industrial CyberSecurity. »Obwohl ein starker Endpunktschutz ausreicht, um ähnliche Angriffe zu verhindern, empfehlen wir dennoch einen ganzheitlichen Ansatz zur Unterstützung der Cyberabwehr der Industrieanlage zu verwenden. Angriffe über Auftragnehmer oder Lieferanten können innerhalb des Unternehmens völlig unterschiedliche Einstiegspunkte haben, einschließlich des OT-Netzwerks. Obwohl die Hintergründe des Angriffs unklar bleiben, ist es besser davon auszugehen, dass die Angreifer das Potenzial haben, sich Zugang zu den kritischen Systemen der Einrichtung zu verschaffen. Moderne Mittel zur Netzwerküberwachung, Anomalie- und Angriffserkennung können dazu beitragen, Anzeichen eines Angriffs auf industrielle Steuerungssysteme und -geräte rechtzeitig zu erkennen und einen Vorfall zu verhindern.«

 

Empfehlungen für mehr Schutz für Industrieunternehmen

 

.         Mitarbeiter im sicheren Umgang mit E-Mails schulen, damit diese insbesondere Phishing-Mails erkennen können.

.         Die Ausführung von Makros in Microsoft-Office-Dokumenten sowie von PowerShell-Skripten wenn möglich beschränken.

.         Bei PowerShell-Prozess-Startups drauf achten, welche Microsoft-Office-Anwendungen initiiert wurden. Nach Möglichkeit sollten Programme keine Debug-Privilegien (SeDebugPrivilege) erhalten

.         Eine Sicherheitslösung wie Kaspersky Endpoint Security for Business [4] nutzen, die Sicherheitsrichtlinien zentral verwalten kann und aktuelle Antiviren-Datenbanken und Softwaremodule für Sicherheitslösungen bietet.

.         Eine dedizierte Sicherheitslösung für Endpoints und Netzwerke der Betriebstechnologie wie Kaspersky Industrial Cybersecurity for Nodes oder Kaspersky Industrial Cybersecurity for Networks [6] nutzen, um einen umfassenden Schutz aller industriellen Systeme zu gewährleisten.

.         Konten mit Domänenadministratorrechten nur mit Bedacht einsetzen. Nach der Verwendung solcher Konten sollte das System, auf dem die Authentifizierung durchgeführt wurde, neu gestartet werden.

.         Eine Kennwortrichtlinie mit bestimmten Komplexitätsvorraussetzungen und regelmäßigen Kennwortänderungen im gesamten Unternehmen implementieren.

.         Beim Verdacht auf eine Infektion eine Antivirenprüfung starten und eine Kennwortänderung für sämtliche Konten, die zum Anmelden bei den gefährdeten Systemen verwendet wurden, erzwingen.

 

Die Experten von Kaspersky ICS CERT überwachen weiterhin neue, ähnliche Fälle. Sollten Unternehmen auf einen solchen Angriff stoßen, können sie diesen über https://ics-cert.kaspersky.com/contacts/ melden
Die vollständige Analyse zu den Angriffen ist verfügbar unter https://ics-cert.kaspersky.com/reports/2020/05/28/steganography-in-targeted-attacks-on-industrial-enterprises/
[1] https://ics-cert.kaspersky.com/reports/2020/05/28/steganography-in-targeted-attacks-on-industrial-enterprises/
[2] https://www.kaspersky.com/blog/digital-steganography/27474/
[3] https://www.security-insider.de/was-ist-mimikatz-a-851187/
[4] https://www.kaspersky.de/small-to-medium-business-security
[5] https://www.kaspersky.de/enterprise-security/industrial

 

1084 Artikel zu „Angriff Industrie“

Prognose 2020: Angriffe mit verheerenden Auswirkungen auf Industrie-Unternehmen und ICS 

Rich Armour, einer der Fortune 50 CISOs ist in Sachen Cyberbedrohungen gegen industrielle Kontrollsysteme wenig optimistisch. Er glaubt, dass die Fertigungsbranche im kommenden Jahr vermutlich mit einer hoch destruktiven Attacke gegen industrielle Steuerungs- und Kontrollsysteme zu rechnen hat. Ein Angriff mit dem Potenzial, Industrieanlagen im ganzen Land schwer in Mitleidenschaft zu ziehen. Rich Armour, ehemaliger…

Fertigungsbranche Top-Ziel der Cyberangriffe auf Industrierechner

Studie: 13,4 Prozent der Industrierechner von WannaCry attackiert.   Etwa jede dritte Cyberattacke auf Rechner für industrielle Kontrollsysteme (ICS, Industrial Control Systems) in der ersten Jahreshälfte 2017 richtete sich gegen Unternehmen aus der Fertigungsbranche. Das zeigt der aktuelle Kaspersky-Bericht über Cyberbedrohungen für industrielle Automationssysteme [1]. Der zahlenmäßige Höhepunkt der Angriffe lag dabei im März 2017…

Angriff auf die Industrie 4.0: Angriffsszenarien auf Industrieroboter und Möglichkeiten, diese zu schützen

Sicherheitsrisiko Industrieroboter – mögliche Angriffsszenarien auf industrielle Robotersysteme und die wichtigsten Schwachstellen. Bis 2018 wird es weltweit schätzungsweise 1,3 Millionen industrielle Robotersysteme geben, die eine breite Palette von Aufgaben in den verschiedensten Industrien übernehmen – vom Schweißen in der Automobilindustrie über das Verpacken in der Lebensmittelherstellung bis hin zum Druckguss in der Metallindustrie. Im Zeitalter…

Ghoul: Angriffe gegen Organisationen aus Industrie und Ingenieurswesen

Es gibt eine neue Welle zielgerichteter Angriffe gegen Organisationen aus den Bereichen Industrie und Ingenieurswesen [1]. Die Kriminellen greifen mittels Spear-Phishing-E-Mails und Malware auf Basis eines käuflich verfügbaren Spyware-Kits an und haben es auf wertvolle Unternehmensdaten innerhalb der anvisierten Netzwerke abgesehen, die anschließend auf dem Schwarzmarkt verkauft werden. Das Hauptmotiv der Operation »Ghoul« ist finanzieller…

Hälfte der Industrie ist nicht auf digitale Angriffe vorbereitet

■      Nur 51 Prozent der Unternehmen verfügen über ein Notfallmanagement. ■      Selbst viele große Industriebetriebe sind nicht ausreichend gewappnet. ■      Im Krisenfall ist eine schnelle Reaktion entscheidend. Nur die Hälfte aller Industrieunternehmen (51 Prozent) in Deutschland verfügt über einen Notfallplan, um innerhalb kurzer Zeit auf den Abfluss sensibler Daten, digitale Wirtschaftsspionage oder Sabotage reagieren zu…

Mehrheit der Energieversorger sowie der verarbeitenden Industrie sind nicht auf interne und externe IT-Angriffe vorbereitet

Eine Studie hat weltweit bedenkliche Sicherheitslücken in kritischen Infrastrukturen aufgedeckt [1]. Fast 70 Prozent der weltweit befragten Unternehmen, darunter Energie- und Wasserversorger sowie andere Dienstleister für kritische Infrastrukturen, hatten in den vergangenen zwölf Monaten mindestens einen sicherheitsrelevanten Vorfall, der zu einem Verlust an vertraulichen Informationen oder zu einer Betriebsstörung führte. Das ist das Ergebnis einer…

Sicherheit bis in den letzten Winkel des industriellen IoT

Moderne Sicherheitslösungen nutzen Analytik, um auch industrielle Anlagen innerhalb des industriellen IoTs überwachen zu können. IoT-Lösungen haben in den letzten Jahren nicht nur unser Zuhause erobert, auch in der Industrie kommen die smarten Geräte immer häufiger zum Einsatz. Das industrielle IoT (IIoT) bietet Unternehmen mannigfaltige Möglichkeiten und die Anwendungsfälle erstrecken sich über alle Branchen. Zu…

Industrielle Steuerungssysteme im Visier

  Spezielle Angriffswerkzeuge, die öffentlich zugänglich sind und von Hackern verwendet werden, um industrielle Steuerungssysteme (Industrial Control Systems, ICS) ins Visier zu nehmen, vermehren sich weiter ungebremst. Hinter diesen ICS-spezifischen Werkzeugen stecken Hardware und Software, die entweder Schwächen im Steuerungssystem ausnutzen oder so mit den Maschinen interagieren können, dass diese von den Akteuren für Einbrüche…

Automatisierte und ständig neue Angriffsmethoden lassen die Zahl der Cyberattacken in die Höhe schnellen

Der Technologiesektor löst zum ersten Mal den Finanzbereich an der Spitze der am stärksten angegriffenen Branchen ab, gleichzeitig nutzen Cyberkriminelle die Covid-19-Pandemie für ihre Aktivitäten aus.   NTT Ltd., ein Technologie-Dienstleister, hat seinen 2020 Global Threat Intelligence Report (GTIR) veröffentlicht. Der neue GTIR zeigt, dass die Angreifer trotz aller Anstrengungen von Unternehmen und Organisationen, ihre…

Robotik-Industrie in Deutschland sagt COVID-19 den Kampf an

Roboter schulen auf Corona-Testverfahren um. Automatisierer starten Atemschutzmasken-Produktion. Roboter holen Familienmitglieder virtuell ins Pflegeheim.   Universitätsklinikum Aalborg setzt für COVID-19-Testverfahren auf Roboter. Foto VDMA   Roboter-, Montage- und Fertigungs-Experten rüsten aktuell im Eilverfahren industrielle Produktionslinien um. Ziel ist, dabei zu helfen, die Corona-Pandemie erfolgreich zu bewältigen. Neue Ideen kommen dabei in Rekordzeit zum Einsatz: So…

Industrielle IT-Sicherheit durch Home Office besonders gefährdet

Durch den vermehrten Einsatz von Home Office erhalten Cyberkriminelle erleichterten Zugang zum Unternehmensnetz. Störungen in Produktionen werden während und nach Corona-Krise zunehmen. Verantwortliche der IT/OT-Sicherheit müssen Strategie zur lückenlosen Gefahrenerkennung umsetzen. Der deutsche Cyber-Sicherheitsdienstleister Rhebo warnt vor den ansteigenden Gefahren des Home Office während der Corona-Krise mit negativen Folgen für die Cybersicherheit von Industrieunternehmen. Durch…

Was den Gesundheitssektor so anfällig für Angriffe auf die Cybersicherheit macht

Der Gesundheitssektor ist wie jeder andere Industriezweig essentiell auf Software angewiesen. Sie spielt in praktisch allen Bereichen eine entscheidende Rolle. Bei der Diagnose, bei sämtlichen bildgebenden Verfahren und Messungen, der Überwachung, der Verabreichung von Medikamenten und beim Führen von Krankenakten. Ganz zu schweigen von administrativen Funktionen wie Terminplanung und Abrechnung. Leider ist die Cybersicherheit dabei…

Wer kappt bei einem Hacker-Angriff die Internetverbindungen?

Zuständigkeiten für vernetztes Fahren müssen neu definiert werden. Die Angriffe auf vernetzte Fahrzeuge haben spürbar zugenommen, immer mehr Schnittstellen bieten zahlreiche Einfallstore. Security by Design muss deshalb in der Automobilbranche künftig bereits bei der Fahrzeugentwicklung umgesetzt werden. Genauso wichtig ist es aus Sicht von NTT Ltd. Security Division, die Frage zu klären, wer im Falle…

Conversation Hijacking: Best Practices zum Schutz vor hochpersonalisierten Angriffen

Beim Conversation Hijacking klinken sich Cyberkriminelle in bestehende Geschäftskonversationen ein oder initiieren neue Konversationen auf Grundlage von ausgespähten Informationen. Conversation Hijacking ist häufig Teil einer E-Mail-Kontenübernahme: Hierbei überwachen Kriminelle das kompromittierte Konto, um Unternehmensvorgänge, Geschäftsaktivitäten, Zahlungsverfahren und andere Details auszuspionieren. Die gekaperten Konten selbst nutzen Angreifer jedoch eher selten für Conversation Hijacking, da der Kontobesitzer…

Cybersecurity im Kontext von Industrie 4.0: Herausforderungen und Lösungen der Cloud- und IoT-Sicherheit

In der vernetzten Industrie 4.0 wird Cloud-Sicherheit zum Rückgrat des Internets der Dinge. Cloud Computing und das Internet der Dinge sind zwei Technologien, die zu Industrie 4.0 gehören. Martin Schauf, Senior Manager Systems Engineering bei Palo Alto Networks, erörtert die Herausforderungen bei der Sicherung von Cloud und IoT, wenn es darum geht, die Umstellung auf…

Gefälschte Rechnungen: Cyberangriff auf deutsche Fertigungsunternehmen

Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat der US-amerikanische Cybersecurity-Spezialist Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit…

Die größten Cyberangriffe 2019 und was 2020 auf uns zukommt

2019 war ein weiteres arbeitsreiches Jahr für Hacker. Sie haben erfolgreich Großstädte, Behörden, Unternehmen, Krankenhäuser und Schulen auf der ganzen Welt angegriffen. Allein in den letzten Wochen erwog die Stadt Johannesburg, Afrika, ob sie 30.000 Dollar (vier Bitcoin) an Hacker zahlen solle oder nicht. Am Ende zahlte die Stadt nicht. Trotz der Drohung der Hacker,…

2020: Für Hacker wird es immer einfacher industrielle Netzwerke anzugreifen

Die Bedrohungslage für OT-Systeme, kritische Infrastrukturen und industrielle Steuerungsanlagen wird sich auch 2020 im Vergleich zu 2019 kontinuierlich weiterentwickeln. Da diese Systeme dem öffentlichen Internet immer stärker ausgesetzt sind, wird es für Hacker immer einfacher, sie anzugreifen. Dies gilt nicht nur für staatlich unterstützte beziehungsweise beauftragte Angreifer, sondern auch für Cyberkriminelle, die in erster Linie…

Immer mehr KMU von Cyberangriffen betroffen

Fehlende Ressourcen sorgen für langfristig höhere Kosten. Kleine und mittelständische Unternehmen (KMU) werden immer häufiger Opfer von Cyberangriffen. Aktuelle Studien zeigen zudem, dass die Mehrheit der KMU nicht auf digitale Angriffe vorbereitet ist. Aus diesem Grund haben Sicherheitsforscher von Malwarebytes verschiedene Faktoren analysiert, die sich auf die Cybersicherheit von KMU auswirken, von der Häufigkeit von…