SAE IT-systems
Im Gewerbegebiet Pesch 14 50767 Köln, Deutschland
0221 598080 0221 5980860 DE812996839 Dipl.-Ing Joachim Schuster

News

CRASHOVERRIDE / Industroyer CSW 2017-191668

Eine neue Bedrohungslage zeigt: IT-Sicherheit ist wichtig!

Die Untersuchungen des Stromausfalls in der Ukraine 2016 haben deutliche Hinweise auf eine ernsthafte Bedrohung aller Leitsysteme offenbart, die jetzt unter dem Namen Crashoverride oder Industroyer publiziert wurden. Anders als Stuxnet wird auf eine breite Durchdringung gezielt.

"Der Threat Intelligence Anbieter im Bereich IndustrialControl Systems (ICS) Dragos hat in Zusammenarbeit mit der Sicherheitsfirma ESET ein Advisory veröffentlicht. Aus diesem geht hervor, dass es sich um eine hochmodulare Malware handelt, die in der Lage ist, den Betrieb von Stromnetzen zu beeinflussen. Sowohl Dragos als auch ESET gehen davon aus, dass es sich hierbei um die Malware handelt, die Ende Dezember 2016 bei Angriffen auf das Stromnetz in der Ukraine verwendet wurde....
...Unter dem Namen CRASHOVERRIDE (Dragos Inc.) bzw. Win32/Industroyer (ESET) verbirgt sich eine Schadsoftware,die nach erster Einschätzung auf Energieunternehmen in Europa abzielt. Konkrete Indikatoren für den Einsatz in Deutschland existieren zurzeit nicht...
...Die von den Sicherheitsexperten veröffentlichten Analysen basieren auf Samples vom Dezember 2016. Es kann erwartet werden, dass das Framework seitdem weiter überarbeitet und verbessert wurde." BSI, 13.6.2017

Betroffen sind derzeit nur MS-Windows basierte Systeme mit dem Fokus, Leitsysteme mit Steuerfunktion zu kompromittieren. Über eine backdoor werden sogenannte payloads für IEC 60870-5-101, -104, IEC 61850 und OPC-DA nachgeladen, die die Kommunikation im Zielsystem ausspionieren, aber auch Daten manipulieren und löschen können. Diese sind in der Lage, über normale Steuerbefehle Schaltzustände kontrolliert zu ändern und damit Versorgungsnetze aller Art massiv zu beeinträchtigen. Die beschriebene Intelligenz bei der Umsetzung lässt vermuten, dass auch andere Beriebssysteme im Fokus sind. Herkömmliche Strategien wie Firewalls, Virenscanner und Intrusion-Detection-Systeme schützen nur vor bereits bekannten Angriffsarten.
Da normale Steuerbefehle abgesetzt werden, haben Unterstationen/RTU kaum eine Chance, die Anomalien zu erkennen und zu blockieren.

Das BSI rät dringend zur Umsetzung folgender Maßnahmen:

  • Verstärkung des Monitorings in entsprechenden Systemen und Bereichen, um Auffälligkeiten frühzeitigerkennen und analysieren zu können. Besonders sollte auf eine plötzliche vermehrte Verwendung der Protokolle IEC-104, OPC DA und IEC 61850 geachtet werden.
  • Die im Dragos Advisory beschriebenen Indikatoren und Yara Regeln auf das Netzwerk anwenden.
  • Siemens hat inzwischen ein Firmware-Update und ein Advisory gegen CVE-2015-5374 veröffentlicht.
  • Backups aller Engineering- und Konfigurationsdateien sowie den eingesetzten ICS-Anwendungen sollten existieren und getrennt aufbewahrt werden.
  • Die Wiederherstellung der Systeme sollte geübt werden.
  • Für den Ernstfall sollten Notfallpläne erstellt werden. Regelmäßige Übungen sollten durchgeführt werden.
  • Das Prinzip „Defense-In-Depth“ sollte im ICS strikt befolgt werden. Geräte, die für das reibungslose Funktionierenkeine Internetanbindung benötigen, sollten vom Internet getrennt werden.

Wir empfehen, die unserer Checkliste genannten Einstellungen zu befolgen.

Weitere Informationen zu CRASHOVERRIDE

Der Vorgang wird offiziell unter CSW 2017-191668-1011 geführt. Weitere Informationen finden Sie unter:

https://dragos.com/blog/crashoverride/CrashOverride-01.pdf

http://www.bbc.com/news/technology-38573074

https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf

https://github.com/eset/malware-ioc/tree/master/industroyer

https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-732541.pdf

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ICS/ICS-Security_kompendium_pdf.html

https://www.us-cert.gov/ncas/alerts/TA17-163A

Bildnachweis

© https://www.sae-it.com/

Bilder

Kontakt

SAE IT-systems GmbH & Co. KG
Im Gewerbegebiet Pesch 14
50767 Köln

Tel.: 0221 / 59 808-0
Fax: 0221 / 59 808-60
E-Mail: info(at)sae-it.de

Hotline
Gibt es technische Probleme?
Wir helfen gerne!

Tel.: 0221 / 59 808-55
Tel.: 0700 / SAESERVICE
E-Mail: service(at)sae-it.de

Kontaktformular

Was können wir für Sie tun?
Sie haben eine Frage, wünschen nähere Informationen oder möchten uns einfach Ihre Meinung sagen?
Die Datenschutzbestimmungen akzeptiere ich. Ich stimme weiterhin der Erhebung und utzung meines Klickverhaltens zu, so dass SAE mir in unregelmäßigen Abständen Inhalte angepasst auf meine Präferenzen, aber auch Hinweise auf Termine, Downloads, neue Produkte u.Ä. per E-Mail zusenden kann. Diesen Service sowie die damit verbundene Erklärung kann ich in jeder Ausgabe des Newsletters oder jederzeit über ontaktaufnahme mit marketing@sae-it.de widerrufen.

*=Pflichtfeld

Reparaturanmeldung
Wenn Sie uns eine Reparatur melden möchten, benutzen Sie bitte unser Formular Reparaturanmeldung.

Bei Fragen wenden Sie sich bitte an unsere Reparatur & Service-Abteilung: 0221/59808-55

Top