Die Automobilindustrie ist nicht nur einer der größten Wirtschaftszweige der Welt, sie ist auch sehr attraktiv für Hacker, denn hier erhoffen sich die Cyberkriminellen den großen Fang. Es ist wichtig, dass die Automobilindustrie ihre OT-Sicherheitsstrategie verbessert und das Zero-Trust-Prinzip anwendet.

Spionage, Ransomware-Erpressung, Lieferketten-Angriffe: Hacker wollen möglichst viel Geld aus ihren Kampagnen schlagen und eine reiche Branche wie diese bietet sich als Ziel an. Unsere Analyse, die sich auf öffentliche Quellen von Januar 2023 bis Februar 2024 stützt, identifizierte 30 Cybersecurity-Vorfälle, die auf verschiedene Bereiche der Automobilindustrie verteilt waren, darunter Zulieferer, Hersteller, Händler und Integratoren.

Organisiertes Verbrechen am Werk. Überwiegend handelte es sich bei diesen Vorfällen um Ransomware-Angriffe von berüchtigten Hacker-Gruppen, wie LockBit, Black Basta und Qilin. Diese Daten deuten darauf hin, dass die Angriffe finanziell motiviert waren und eher wahllos durchgeführt wurden. Im Zuge einer doppelten Erpressung als Taktik haben die Angreifer allerdings nicht nur hochwertige Dateien verschlüsselt, sondern diese auch gestohlen und mit deren Veröffentlichung gedroht, um den Druck zu erhöhen.

Es ist bemerkenswert, dass diese Cyberkriminellen oft weit verbreitete Schwachstellen ausnutzen, die als 1-Day-Schwachstellen bekannt sind, oder Social-Engineering-Taktiken anwenden, um in die internen Netzwerke ihrer Ziele zu dringen und dann Ransomware einzusetzen. In diesen Fällen können die meisten Angriffe abgewehrt werden, wenn die Sicherheitsmaßnahmen auf dem neuesten Stand der Technik gehalten werden und eine angemessene Sicherheitsschulung der Mitarbeiter durchgeführt wurde.

Ergebnisse zeigen jedoch auch sechs Vorfälle außerhalb der Ransomware-Welt, an denen APT-Gruppen (Advanced Persistent Threats) beteiligt sind, also sehr fähige und fortschrittliche Hacker-Gruppen, die ausgeklügelte Taktiken einsetzen, um ihre Ziele zu erreichen. Häufig werden diese sogar national-staatlich unterstützt. Diese Vorfälle machen deutlich, dass Automobilunternehmen maßgeschneiderte Verteidigungsstrategien brauchen, einschließlich der Einführung neuer Maßnahmen zur Erkennung von und Reaktion auf Bedrohungen, um sich gegen diese sehr gefährlichen Attacken wehren zu können.

Stärkung der Cybersicherheit für Windows, MacOS und Linux. In der Landschaft der IT- und OT-Bedrohungen, also solche gegen Büro-Computer-Systeme und Maschinen in Produktionsumgebungen, stechen APT-Gruppen durch ihre äußerst gut gezielten Attacken hervor. Im Gegensatz zu dem pauschalen Ansatz, der für herkömmliche Ransomware-Angriffe typisch ist, arbeiten APT-Gruppen ihre Pläne sorgfältig aus, um die einzigartigen Schwachstellen der ausgewählten Zielesysteme zu nutzen. Diese Anpassung reicht bis zur Entwicklung von Malware, die reibungslos auf verschiedenen Betriebssystemen – Windows, MacOS und Linux – funktioniert, was die Vielseitigkeit und den technischen Einfallsreichtum dieser Bedrohungen unterstreicht.

Eine Fallstudie enthüllt ein besonders ausgeklügeltes Beispiel für diesen Ansatz: eine Backdoor, die speziell für die Infiltration von MacOS-Computern entwickelt wurde [1]. Diese Hintertür wird zunächst über ein scheinbar harmloses Word-Dokument verbreitet, das bösartige Makros enthält. Sobald ein Gerät verseucht worden ist, nutzt die Malware auf raffinierte Weise die nativen MacOS-Befehle, um Daten zu stehlen. Außerdem weist sie jedem infizierten Rechner eine eindeutige Kennung zu, indem sie aus den Ausgaben bestimmter MacOS-Befehle einen MD5-Hash generiert. Bei dieser Methode geht es daher nicht nur um das Sammeln von Daten, sondern auch darum, Abwehrmechanismen zu umgehen, indem man den Angriff als legitimen Datenverkehr tarnt.

Abbildung 1: Ransomware-Angriffe auf die Automobilindustrie nach Hacker-Gruppen von Januar 2023 bis Februar 2024 (TXOne Networks Inc.).

Da die Automobil-Industrie je nach Projektan-for-de-rungen auf unterschiedliche Betriebssysteme angewiesen ist, bietet sie eine breite Angriffsfläche für diese APT-Gruppen. Mitarbeiter müssen wahrscheinlich Linux, Windows oder MacOS verwenden, die jeweils einzigartige Einstiegspunkte für Angreifer bieten. Diese Vielfalt unterstreicht eine kritische Schwachstelle: In dem Maße, in dem APT-Gruppen ihre Malware verbessern, steigt das Risiko eines Eindringens in interne Netzwerke von Automobil-Unternehmen erheblich. Daher ist es für diese Firmen unerlässlich, ihre Cyberabwehr für alle Betriebssysteme mit dem gleichen Nachdruck zu verstärken. Darüber hinaus besteht ein dringender Bedarf an umfassender OT-Transparenz. Ein solcher Ansatz ist nicht nur für die Erkennung, sondern auch für die wirksame Eindämmung und Neutralisierung dieser Bedrohungen im Produktionsbereich unerlässlich, denn längst sind vernetzte Maschinen im Zuge der Industrie 4.0 ins Visier von Hackern geraten, um Ausfälle der Produktion hervorzurufen.

Die Heimtücke der Cobalt Strike Beacons. Im Schattenreich der Cyberbedrohungen haben APT-Gruppen, wie APT32, eine besonders heimtückische Technik entwickelt: den Einsatz von Cobalt Strike Beacons auf den Geräten, die sie angreifen. Dieses Tool wird von vielen weiteren berüchtigten Gruppen eingesetzt, wie Chimera, APT29 und Leviathan. Es ermöglicht sogenannte Post-Exploitation-Aktivitäten. Sobald sie in ein Gerät eingedrungen sind, dienen diese Beacons als die Augen und Ohren der Hacker innerhalb des angegriffenen Systems. Dies wird vor allem bei raffinierteren Angriffen, die oft von national-staatlich gestützten APT-Gruppen durchgeführt werden und Zero-Day-Schwachstellen umfassen können – also bisher unbekannte Sicherheitslücken – gefährlich werden, vor allem bei wirkungsstarken Zielen. Sobald ein unbedarfter Mitarbeiter versehentlich Malware in das System einschleust, ist die Bühne für Cobalt Strike Beacons bereitet worden. Diese sind nicht nur bloße Werkzeuge, um Fuß zu fassen, sondern Schweizer Taschenmesser für Cyberkriminelle, denn sie können Schwachstellen ausnutzen, bösartige Dateien tarnen, Daten stehlen und mit einem Command-and-Control-Server (C&C) kommunizieren, um weitere Anweisungen zu erhalten.

Die Trophäe für solche Angreifer sind Geschäftsgeheimnisse und wertvolles geistiges Eigentum von Automobilherstellern, somit wertvolle Vermögenswerte, die Wettbewerbsvorteile bieten oder zu einem hohen Preis im Dark Net verkauft werden können. Die Situation eskaliert, wenn es den Angreifern gelingt, sich seitlich im Netzwerk eines Unternehmens zu bewegen, also von System zu System zu springen, und schließlich kritische Systeme zu erreichen, die automatisierte Fertigungsprozesse steuern. Die Folgen solcher Angriffe können katastrophal sein und nicht nur zum Verlust sensibler Daten führen, sondern Produktionslinien zum Stillstand bringen. Eines unserer kostenlosen White Paper beleuchtet die vielfältigen Cyberbedrohungen, mit denen Automobilwerke konfrontiert werden, und unterstreicht die erheblichen finanziellen sowie betrieblichen Risiken, die mit solchen Sicherheitsverletzungen verbunden sind [2].

Fazit. Bei den 30 Cybersecurity-Vorfällen, welche die Automobil-Industrie von Januar 2023 bis Februar 2024 erlitt und untersucht wurden, haben wir festgestellt, dass die Mehrheit zufällige Ransomware-Angriffe waren. Es gab jedoch sechs Vorfälle, bei denen es sich nicht um schlichte Ransomware handelte, sondern um hochgradig gefährliche Attacken von APT-Gruppen. Einige dieser Vorfälle führten sogar zu Produktionsausfällen. Besonders die Nutzung der Cobalt Strike Beacons lässt aufhorchen. Ihr Ziel sind das geistige Eigentum und Geschäftsgeheimnis der Unternehmen, sowie eine Unterbrechung des Betriebs. Sabotage und Industrie-Spionage im klassischen Sinn – nun auf digitaler Ebene. Ein Einfallstor sind die vernetzten Maschinen der Industrie 4.0. Diese müssen im Rahmen einer guten OT-Sicherheitsstrategie, die außerdem das Zero-Trust-Prinzip auf die OT überträgt, unbedingt geschützt werden, gleichgültig, ob es sich um Neu-Systeme oder Alt-Systeme handelt. Die IT-OT-Konvergenz öffnet außerdem die Türen für Attacken, die von einem in den anderen Bereich wirken, weshalb auch diesen mit einer strikten Trennung der Zonen durch Netzwerksegmentierung begegnet werden muss. Das ist allerdings nur mit OT-nativen Sicherheitsmaßnahmen möglich, welche die spezifischen Anforderungen der OT-Umgebungen kennen und bedienen.

Mirco Kloss,
Business Development Director DACH bei
TXOne Net works Europe B.V.

[1] Jaromir Horejsi, »New MacOS backdoor linked to OceanLotus found«, Trend Micro, April 4, 2018. https://www.trendmicro.com/en_us/research/18/d/new-macos-backdoor-linked-to-oceanlotus-found.html

[2] https://media.txone.com/prod/uploads/2023/04/In-Depth-Analysis-of-Cyber-Threats-to-Automotive-Factories-TXOne-WP-202304v.pdf

Illustration: © VChormail, Lorenzo Rossi, GenAI | Dreamstime.com

381 Artikel zu „OT-Sicherheit“

News | Trends Security | IT-Security

Was erwarten Unternehmen von OT-Sicherheitslösungen und welche Prioritäten setzen sie?

4. Juni 2023

Viele OT- und IT-Abteilungen arbeiten immer noch in siloartigen Strukturen ohne Einblick in die Verbindung und Interaktion zwischen den Netzwerken und haben eine unterschiedliche Sicht auf aktuelle Herausforderungen. OTORIO, Anbieter von Cyber- und Digital-Risk-Management-Lösungen für Betriebstechnologie (OT), hat weitere Ergebnisse seiner aktuellen Studie in Kooperation mit ServiceNow vorgestellt. Die Studie mit dem Titel »Understanding…

Mirco Kloss, Business Development Director DACH bei TXOne Net works Europe B.V.

[1] Jaromir Horejsi, »New MacOS backdoor linked to OceanLotus found«, Trend Micro, April 4, 2018. https://www.trendmicro.com/en_us/research/18/d/new-macos-backdoor-linked-to-oceanlotus-found.html

[2] https://media.txone.com/prod/uploads/2023/04/In-Depth-Analysis-of-Cyber-Threats-to-Automotive-Factories-TXOne-WP-202304v.pdf

381 Artikel zu „OT-Sicherheit“

Mirco Kloss,
Business Development Director DACH bei
TXOne Net works Europe B.V.