US CISA warnt Hacker, die ein Arsenal aufbauen, um industrielle Steuerungssysteme anzugreifen

In einer weiteren offiziellen Warnung fordern die US-Behörden erhöhte Wachsamkeit und eine weitere Verschärfung der Sicherheitsmaßnahmen innerhalb kritischer Infrastrukturen. Mitte April warnten mehrere US-Behörden und -Institutionen, darunter das FBI, die NSA, die Cybersecurity and Infrastructure Security Agency (CISA) und das Energieministerium, erneut davor, dass sich Angreifer auf einen Angriff vorbereiten.

Hacker zielen auf Logiksteuerungen ab

Die neue Sicherheitsempfehlung hob insbesondere die potenzielle Gefahr für eine Reihe von Systemen hervor, darunter mehrere industrielle Steuerungssysteme (ICS) und Überwachungssteuerungs- und Datenerfassungsgeräte (SCDA).

Diese Warnung ist etwas spezifischer und eigenartiger als viele der Warnungen davor, die sich auf den Bankensektor oder große, wichtige Lieferantennetzwerke wie Kraftstofflieferanten und Lebensmittelhersteller konzentrierten. Diese Warnung bezieht sich jedoch auf Hacker, die Tools entwickeln, die auf speicherprogrammierbare Steuerungen oder SPS abzielen können.

Die Warnung hebt speziell mehrere SPS-Hersteller hervor, von denen die Agenturen und Behörden glauben, dass sie speziell angegriffen werden. Dazu gehören Steuerungen von Schneider Electric und Omron Sysmac. Die Liste potenzieller Ziele umfasst auch Server, auf denen Open Platform Communications Unified Architecture ausgeführt wird.

Die Agenturen warnen davor, dass fortgeschrittene Akteure hartnäckiger Bedrohungen Tools entwickelt haben, die auf ISC- und SCDA-Geräte abzielen, zuerst nach ihnen suchen und später die Kontrolle übernehmen. In Kombination mit der Fähigkeit, technische IT-Stationen zu infizieren, auf denen Windows ausgeführt wird, und den Zugriff zu erhöhen, sind die möglichen Szenarien, die von der Cybersicherheitswarnung gezeichnet werden, düster.

ASRock-Treiberfehler stellt einen gefährlichen Exploit dar

Die Sicherheitswarnung geht weiter ins Detail, um die Werkzeuge zu beschreiben, von denen angenommen wird, dass sie in den Händen der Hacker und APTs sind. Diese Tools sind angeblich modular und bieten einen einfachen Zugriff auf die virtuelle Konsole, sodass Hacker mit der Hardware interagieren können. Die Malware wird weiter so beschrieben, dass sie eine „hochautomatisierte“ Ausnutzung der Zielhardware ermöglicht.

Die Warnung weist auch auf eine bekannte Schwachstelle bei ASRock-Motherboards hin, die eine Motherboard-Treiberdatei namens AsrDrv103.sys betrifft. Die unter CVE-2020-15368 kodifizierte Schwachstelle ermöglicht seitliche Bewegungen und die Unterbrechung kritischer Dienste. Der Exploit ist besonders gefährlich, da er die Ausführung beliebigen Codes bis hinunter zur Windows-Kernel-Ebene ermöglicht, was ein todsicherer Weg ist, fast alle Sicherheitssoftware zu umgehen.