A A A
| Sitemap | Kontakt | Impressum | Datenschutz
ETZ Logo VDE Verlag Logo

15.01.2018

Angriff auf die Sicherheitssteuerung Triconex von Schneider Electric mit der Malware Triton

Nach Stuxnet und Industroyer hat mit Triton Mitte Dezember 2017 zum dritten Mal ein Hacker-Angriff auf eine industrielle Steuerung stattgefunden. Zum ersten Mal war jedoch eine Sicherheitssteuerung betroffen, die Triconex von Schneider Electric.

Nach Angaben des Spezialist für datengestützte Sicherheit FireEye versuchten die Cyber Kriminellen die Controller der Sicherheitssteuerung über einen Remote-Zugang einer Workstation neu zu programmieren. Als eine Gültigkeitsprüfung eines Anwendungscodes zwischen zwei redundanten Prozessoren scheiterte, fuhr die Sicherheitssteuerung die Anlage sicher herunter. Bedingt durch diesen Vorfall wurde die komplette Anlage analysiert.
Das eindeutige Ziel war es die Industrieanlagen, die Umwelt oder der Produktion zu schaden. Da die Angreifer die Malware ‚Triton‘ eingesetzt haben, kurz nachdem sie Zugang zur Sicherheitssteuerung Triconex erhalten hatten, deutet darauf hin, dass die Schadsoftware vorher getestet haben müssen, was den Zugang zu spezieller Hard- und Sopftware erfordert. Triton wurde speziell dafür entwickelt, um mit dem proprietären Kommunikationsprotokoll ‚TriStation‘ zu interagieren.
Nach einer Meldung von Reuters haben sich weder FireEye noch Schneider Electric zum Unternehmen, zur Branche oder zur Region des Angriffs geäußert. Das Cyber-Security-Unternehmen Dragos gab an, dass das Ziel ein Unternehmen im Mittleren Osten war. Laut Aussage von CyberX, einem anderen Cyber-Security-Spezialisten ist das Opfer in Saudi-Arabien beheimatet.

Andy Kling, director of cybersecurity and architecture bei Schneider Electric unterstreicht in seinem Statement zu dem Angriff: “Wir wollen darauf hinweisen, dass das Ziel des Angriffs die Anlage bzw. der Anwender war. Obwohl Triton entwickelt wurde um mit unseren Produkten zu interagieren, war dies der Fall, weil genau diese Produkte an diesem Ort in dieser Anlage verwendet wurden. Die Schadsoftware hat sich keine inhärente Schwachstelle in den Produkten von Schneider Electric zu Nutze gemacht.”
Nach Aussage von Dragos war die Malware – die die Trisis – nennen, explizit auf diese Anwendung zugeschnitten. Auch wenn von der Prozesssicherheitslösung Triconex mehr als 13000 installierte Systeme im Einsatz sind, ist nicht davon auszugehen, dass andere Systeme gefährdet sind. Jede Applikation sei so einzigartig, dass es spezifisches Prozess-know-how erfordern würde, die Schadsoftware entsprechend zu modifizieren. Zudem habe die Steuerung genau das getan, was von ihr erwartet wird: die Anlage bei einem Problem in den sicheren Zustand gefahren.

Obwohl der Angriff nicht skalierbar ist, weißt Dragos darauf hin, dass die Gefahr besteht, dass andere die Spionagepraxis als Vorlage verwenden könnten um Sicherheitssteuerungen anzugreifen. Es sei egal, welche industrielle Steuerung verwendet wird, mit dem entsprechenden Aufwand lässt sich alles hacken.
In seinem Kommtar meint Dr. Alexander Horch, Vice President Research, Development & Product Management bei Hima „Der Vorfall von unserem Mitbewerber sollte uns allen als Weckruf dienen, um das Bewusstsein in der Branche für das Thema Cybersecurity weiter zu schärfen. Arbeitsprozesse und organisatorische Mängel sind mit Abstand die häufigste Angriffsfläche für erfolgreiche Cyberattacken. Bleiben z.B. Schnittstellen an Systemen im laufenden Betrieb offen und diese dadurch programmierbar, wird Angreifern ein mögliches Einfallstor geöffnet. Wir raten Anlagenbetreibern dringend, nicht nur auf cybersichere Komponenten zu setzen, sondern ein ganzheitliches Security-Konzept für die eigenen Anlagen zu etablieren.“

Ergänzung
Am 18. Januar 2018 hat die etz-Redaktion zu dem Vorfall ein Statement von Schneider Electric erhalten.
“Schneider Electric is aware of a directed incident targeting a single customer’s Triconex Tricon safety shutdown system. We are working closely with our customer, independent cybersecurity organizations and ICS-CERT to investigate and mitigate the risks of this type of attack. While evidence suggests this was an isolated incident and not due to a vulnerability in the Triconex system or its program code, we continue to investigate whether there are additional attack vectors. It is important to note that in this instance, the Triconex system responded appropriately, safely shutting down plant operations. No harm was incurred by the customer or the environment.
Triconex user documentation contains detailed security guidelines and recommendations on how to protect Triconex systems from attack. We strongly encourage all our customers to follow these recommendations regarding product use and security, as well apply and follow industry-recognized cybersecurity best practices at all times to protect their installations:

Weitere Informationen zu dem Thema finden Sie auf folgenden Seiten:
FireEye
Dragos
Reuters
Symantec