Russische Hacktivisten nehmen zunehmend kleinere operationelle Technologiesysteme (OT) in Nordamerika und Europa ins Visier. Diese Angriffe konzentrieren sich hauptsächlich auf die Sektoren Wasser- und Abwassersysteme (WWS), Dämme, Energie sowie Lebensmittel und Landwirtschaft und stellen eine erhebliche Bedrohung für die kritische Infrastruktur dar.
Die Cybersecurity and Infrastructure Security Agency (CISA) und andere nationale sowie internationale Cybersicherheitsorgane haben eine detaillierte Beratung herausgegeben, um Organisationen beim Schutz gegen diese bösartigen Aktivitäten zu unterstützen.
Laut dem jüngsten Bericht der CISA nutzen diese pro-russischen Hacktivisten Sicherheitslücken in industriellen Steuerungssystemen (ICS), die über das Internet zugänglich sind, aus. Die primäre Angriffsmethode besteht darin, Standardpasswörter und veraltete Virtual Network Computing (VNC)-Software auszunutzen, um unbefugten Zugriff auf Mensch-Maschine-Schnittstellen (HMIs) zu erlangen.
Einmal im System, manipulieren diese Akteure die Steuerungen, um den Betrieb zu stören. Die am stärksten betroffenen Sektoren sind kleine OT-Systeme in den nordamerikanischen und europäischen Wasser- und Abwassersystemen, Dämmen, Energie- und Lebensmittel- und Landwirtschaftssektoren. Diese Sektoren sind entscheidend für die öffentliche Sicherheit und Gesundheit, was die Angriffe nicht nur zu einer Belästigung, sondern auch zu einer potenziellen Bedrohung für das menschliche Leben macht.
Auswirkungen der Cyberangriffe
Obwohl die Auswirkungen dieser Cyberangriffe oft als begrenzt von den Hacktivisten selbst beschrieben werden, können sie zu erheblichen Störungen führen. Beispielsweise meldeten Anfang 2024 mehrere WWS-Einrichtungen in den USA unbefugte Manipulationen an HMIs. Diese Manipulationen führten dazu, dass Wasser pumpen und Gebläsegeräte über normale Parameter hinaus betrieben wurden, was zu geringfügigen Überlaufereignissen bei Tanks führte.
Obwohl die meisten Einrichtungen schnell auf manuelle Steuerungen umstellen und den normalen Betrieb wiederherstellen konnten, war das Potenzial für erhebliche Schäden und Risiken für die öffentliche Sicherheit offensichtlich.
Empfohlene Gegenmaßnahmen
Als Reaktion auf diese anhaltenden Bedrohungen haben CISA und ihre Partnerorganisationen mehrere Strategien zur Milderung vorgeschlagen, um die Sicherheit von OT-Systemen zu verbessern:
- Sicherung des Fernzugriffs: Organisationen sollten alle HMIs vom öffentlich zugänglichen Internet trennen. Ist ein Fernzugriff notwendig, sollte dieser mit starken Passwörtern und mehrstufiger Authentifizierung über eine Firewall oder ein virtuelles privates Netzwerk (VPN) gesichert werden.
- Verstärkung der Passwortrichtlinien: Es wird dringend empfohlen, sofort von Standard- und schwachen Passwörtern zu starken, einzigartigen Passwörtern zu wechseln. Mehrstufige Authentifizierung sollte für alle Zugangspunkte zum OT-Netzwerk implementiert werden.
- Regelmäßige Updates und Überwachung: Es ist entscheidend, alle Systeme und Software mit den neuesten Sicherheitspatches auf dem neuesten Stand zu halten. Zusätzlich sollte die Protokollierung und Überwachung von Fernzugriffsversuchen verbessert werden, um unbefugte Zugriffsversuche schnell zu erkennen und darauf zu reagieren.
Die Beratung betont auch die Rolle der OT-Gerätehersteller darin, sicherzustellen, dass ihre Produkte sicher konzipiert sind, indem sie Standardpasswörter eliminieren und mehrstufige Authentifizierung für Änderungen an Systemkonfigurationen fordern.