Post on 29-Mar-2021
Marina Krotofil
DefensiveCon, Berlin, Deutschland07-08.02.2020
RACE-TO-THE-BOTTOM: Die Entwicklung der Bedrohungslage
industrieller Steuerungssysteme (ICS) und
wie dies die Notwendigkeit der Regulierung
der CyberWaffen verändert
Über mich
• Ukrainische Deutsche, die in drei anderen Ländern lebte und arbeitete
• Senior Sicherheitsingenieurin für Automatisierung
• Spezialisierung auf die Red-Team Sicherheit der kritischen Infrastrukturen
• Fokus: Verursachung von physikalischen Schäden
− Wie man mittels Cyber-Angriffe etwas zum Absturz bringt, zerstört oder in die Luft jagt
Folien Vorbereitung hat spaß gemacht ;-)
Wie Englische Begriffe
auf Deutsch klingen
5 Minuten vor Ablauf der Frist -> so wird das Projekt abgeschlossen
Deadline Pferd
Einführung
Hier ist eine Anlage. Wie gehst du vor?
http://www.amerpipe.com/sites/default/files/refinery-pipe.jpghttps://www.alambassociates.com/wp-content/uploads/2016/10/Chemical-Plant.jpg
• Trivial! Schau dir mal den Stand der ICS Cyber Sicherheit an!
• Fast unmöglich! Diese Prozesse sind äußerst komplex und sicherheitstechnisch ausgereift! https://www.shutterstock.com/image-illustration/six-nine-matter-perspectives-1024980271
Zwei gegensätzliche Ansichten bezüglich
Ausführung der cyber-physikalischen Angriffen
Zwei gegensätzliche Ansichten
Typische Erwartung: WUNDER TASTE
https://www.alambassociates.com/wp-content/uploads/2016/10/Chemical-Plant.jpg
Angriffe mit strategischer & langfristiger Wirkung
• Angriffe für strategischen, dauerhaften Schaden sind
prozessspezifisch und erfordern ein gutes Prozessverständnis
• Angreifer muss ein detailliertes „Schadensszenario“
entwickeln
− Was bringt eine Pipeline zum Explodieren?
− Was bringt die richtige Pipeline zum Explodieren?
− Was bringt die richtige Pipeline im richtigen Moment
zum Explodieren?
Corporate IT
Industrial IT
Physikalisches
Prozess
Information
Technology (IT)
Betriebstechnik/Operational
Technology (OT)
Informatik
Ingenieurwesen
Industrial Control System (ICS)
Cyber-Physicalische Systeme
Cyber-Physikalische Systeme
sind IT-Systeme, die in eine
Anwendung in der physischen
Welt "eingebettet" sind
Typische ICS Netzwerkarchitektur
Level
0
Level
1
Level
2L
evel
3
Operations
Management
Level
4 Office
network
Internet & Cloud
SolutionsLevel
5
Physikalisches
Prozess
OT Netzwerk
IT Netzwerk
“Internet der Wolken”
Supervisory
Control
Field Control &
Safety systems
Physical process,
sensors, actuators
Fernzugang
„Traditionelle“ Ziele der Angreifer
Spionage,
Persistenz/Dauerhafter
Zugang, Aufklärung
Die Angriffe werden physischer…
Entstehende Trends:
Physikalische Schäden,
Ransomware
Angriffsziel, das in diesem Vortrag betrachtet ist
CorporateIT
IndustrialIT
Ziel des Angreifers
ICS Sicherheit
IT SicherheitCyber-Sicherheit
-> Übernahme
der Infrastruktur
OT securityAuswirkung auf dem
Betrieb -> Prozess
oder Ausstattung
ICS Sicherheit
Fokus dieses Vortrages
Industrieanlagen basieren auf Regelkreiskonzept
0 10 20 30 40 50 60 703550
3600
3650
3700
3750D Feed
Hours
kg
/h
0 10 20 30 40 50 60 7062.6
62.8
63
63.2
63.4
63.6D feed
Hours
%
Aktuatoren
Steurungs
system
SensorenSollwert
Bedienstation
Prozess
Optimierung
Applikationen
Industrielle Netzwerkarchitektur
De
fin
itio
n d
er
Na
hze
ita
blä
ufe
Field
Instrumentation
Controllers
(Regulatory
control)
HMI
(Supervisory
control)
Optimization
Applications
Planning and
management
Eingebettete Systeme
https://vecer.mk/files/article/2017/05/02/485749-saudiska-arabija-ja-kupi-najgolemata-naftena-rafinerija-vo-sad.jpg http://www.jfwhite.com/Collateral/Images/English-US/Galleries/middleboro9115kvbreakers.jpg https://www.roboticsbusinessreview.com/wp-content/uploads/2016/05/jaguar-factory.jpg
https://selinc.com/uploadedImages/Web/Videos/Playlists/Playlist_RTAC_1280x720.png?n=63584758126000 http://www02.abb.com/global/seitp/seitp202.nsf/0/0601d25ed243cfb0c1257d7e0043e50e/$file/7184_lvl2.jpg
https://www.oilandgasproductnews.com/files/slides/locale_image/medium/0089/22183_en_16f9d_8738_honeywell-
process-solutions-rtu2020-process-controller.jpg
Cyber-Physikalischer Angriff
20
https://vecer.mk/files/article/2017/05/02/485749-saudiska-arabija-ja-kupi-najgolemata-naftena-rafinerija-vo-sad.jpg http://www.jfwhite.com/Collateral/Images/English-US/Galleries/middleboro9115kvbreakers.jpg https://www.roboticsbusinessreview.com/wp-content/uploads/2016/05/jaguar-factory.jpg
http://magazine.scientificmalaysian.com/wp-content/uploads/2013/12/Oil-refinery-explosion.png
CYBER
PHYSICAL
Sicherheit gg. Betriebssicherheit
TimeIncident
Safety measuresSecurity infridgements
(Cyber)Sicherheits
vorfall
Bedrohungen Gefährdungen
Schichten der
Betriebssicherheitsmaßnahmen
Zeit
Schichten der
Sicherheitsmaßnahmen
Sicherheits-Zwiebeln
http://zentekconsulting.com/wp-content/uploads/2016/03/Defense-in-Depth-Graphic-e1478548099459.png
Betriebssicherheits-Zwiebeln
https://images.app.goo.gl/sMB2FNVEs4AKNLPB9
Gefährdungen und Betriebssicherheitsschichten
Der schlimmster Fall eines ICS Angriffes
https://www.cyberark.com/threat-research-blog/anatomy-triton-malware-attack/
Ein Angriff auf ein
Sicherheitssystem kann das
SCHÄDLICHSTE Ergebnis
eines cyber-physikalischen
Angriffs verursachen
Race-to-the-Bottom in IT Sicherheit
Angreifer gg. Verteidiger27
Angreifer gg. Verteidiger Fertigkeiten28
https://u
plo
ad.w
ikim
ed
ia.o
rg/w
ikip
ed
ia/c
om
mons/t
hu
mb/f
/fb/H
ackin
g_C
ore
bo
ot.jp
g/8
00
px-H
ackin
g_C
ore
boot.
jpg
https://u
plo
ad.w
ikim
ed
ia.o
rg/w
ikip
ed
ia/c
om
mons/t
hu
mb/f
/fb/H
ackin
g_C
ore
bo
ot.jp
g/8
00
px-H
ackin
g_C
ore
boot.
jpg
Sicherheit ist ein bewegliches Ziel29
Ein moderner Computer ist nicht mehr30
nur ein Computer…..
Trend zwischen Angreifern und Verteidigern
EVOLUTION DER ICS EXPLOITS
ICS Gefährdungslage hat sich verändert
Unglaubliche Menge der
täglichen AngriffeNiemand weiß von
unserer Existenz
Intelligente Feldgeräte
Analoger Temperatursensor Intelligenter
Temperaturtransmitter mit
Webserver und IP Adresse
20172015 2016
Angriff auf das
ukrainische
Stromnetz
(Industroyer)
Angriff auf das
ukrainische
Stromnetz
(BlackEnergy)
TRITON
Öffentlich bekannte
cyber-physische Angriffe
Geplante Operation
zur Verhinderung des
iranischen
Atomprogramms
(Stuxnet)
Erster
automatisierter
OT-
Aufklärungs-
angriff (HAVEX)
Aufklärung und Bewaffnung von
Fähigkeiten
1999 2010 2013
Erste aktive
Aufklärungen und
Einbruchsversuche
Erfolgreiche cyber-
physikalische
Experimente
htt
ps:/
/qp
h.f
s.q
uo
racd
n.n
et/
main
-qim
g-f
741
c6
e5
db3
2b
87
f282
e5
44
48
a21
29
ce
https://www.schneider-electric.com/ww/en/Images/tricon-IC-654x654.jpg
htt
ps:/
/ww
w.b
ankin
fosecuri
ty.c
om
/ukra
inia
n-p
ow
er-
grid
-hacke
d-a
-87
79
Kurze Geschichte von ICS Angriffen
TRITON in Nachrichten36
36
TRITON Angriff
Angreifer erhielte
Fernzugang zum
Sicherheitsstem-
Kommunikationsnetz
Dual-homed SIS
Eng. Workstation
TRITON Implantat Funktionalitäten
TriStation protocol
"Dein Wunsch ist
mir Befehl"
imain.bin + inject.bin
trilog.exe
• script_test.py
• library.zip
• inject.bin
• imain.bin
• Der Angreifer versuchte, ein passives Implantat in die Speicher der
Sicherheitssteuerung einzuschleusen− Läuft als Benutzerprogramm auf dem Controller, Wird aktiviert durch ein spezielles
Netzwerkpaket
− Lesen / Schreiben / Ausführen aus dem Speicher
Triconex safety controller (SSPS)
TRITON Implantat
Firmware
Steurungsprogram
Bediener
Triconex
TRITON Worst-Case-Szenario40
Architecture of model 3008 Main Processor
I/O Signale
TRITON
https://www.nrc.gov/docs/ML0932/ML093290420.pdf
TRICONEX: Safety Integrity Level (SIL3)41
http://iom.invensys.com/EN/pdfLibrary/Datasheet_Triconex_TriconSIL3_06-11.pdf
htt
ps:/
/ww
w.v
alv
em
ag
azin
e.c
om
/we
b-o
nly
/ca
teg
ori
es/e
nd
-use
r-in
du
str
ies/8
48
1-
ho
w-v
alv
e-s
ele
ctio
n-c
an
-im
pa
ct-
sis
-in
-re
fin
ing
-ap
plic
atio
ns.h
tml
Race-to-the-Bottom in ICS
Level
0L
evel
1
Physical process,
sensors, actuators
Field control &
safety systems
Level
2
Supervisory
control
Level
3
Operations
Management
Level
4
Office
network
Internet & Cloud
Solutions
Leve
l 5
TRITON
(2017)
BlackEnergy3
(2015)
Industroyer
(2016)
Physical
process
Steurungssystem
Industrielle
Protocolle
Bedienstation
Keine offiziellen Bedenken43
Die potenziellen menschlichen Kosten von Cyber-Operationen
Die Angriffe werden fortgeschrittener
Hacker haben nur 600 MAC-Adressen im
Visier, 2019
Über 500.000 betroffene
Geräte, 2018 Hacker zielten auf spezifische
Aufzeichnungen von 20 Personen ab, 2019
https://blog.talosintelligence.com/2018/05/VPNFilter.html
https://www.zdnet.com/article/asus-releases-fix-for-live-update-tool-abused-in-shadowhammer-attack/
htt
ps:/
/ww
w.c
po
ma
ga
zin
e.c
om
/cyb
er-
se
cu
rity
/ch
ine
se
-
ha
cke
rs-d
em
on
str
ate
-th
eir
-glo
ba
l-cyb
er-
esp
ion
ag
e-r
ea
ch
-
with
-bre
ach
-at-
10
-of-
the
-wo
rld
s-b
igg
est-
tele
co
ms/
Landesweiter Cyber Angriff
Am 27. Juni 2017 wurde die Ukraine am Vorabend des Verfassungsfeiertages
von einem massiven Cyber Angriff (NotPetya-Ransomware) getroffen
https://twitter.com/MaximEristavi/status/879712719535996928
So zentralisiert Gesundheitsministerium beispielsweise die Verteilung von Medikamenten über das riesige Gebiet der 24 Regionen der Ukraine. Wenn den
Krankenhäusern in diesen Regionen die Medikamente für die Patienten ausgehen, wenden sie sich an das Ministerium, um Medikamente zu
beschaffen. Entweder das Ministerium hat sie, oder sie finden sie in anderen Regionen und schicken sie in die bedürftige Region.
"Aber wir können diese Anfragen im Moment nicht weiterleiten außer per Telefon, also stellen Sie sich vor, wie lähmend das für uns ist", sagt ein
verärgerter Suprun. "Was früher eine einzige E-Mail erforderte, die in die 24 Regionen kopiert wurde, erfordert jetzt 24 separate Telefonanrufe, bevor
wir die Medikamente finden können"
Neue Art der humanitäre Krise
https://www.bbc.com/future/article/20170704-the-day-a-mysterious-cyber-attack-crippled-ukraine
Herausforderungen der Wiederherstellung
• Infrastruktur Wiederstellung ist arbeitsintensive
• Wenig Training für das Personal
(Kosteneinsparungen)
• Verlass auf Drittanbieter für die
Wiederherstellung
• Die Wiederherstellungsprozedere wurden kaum
getestet
• Häufig - keine Backups
• Die Wiederherstellung in Großschadenslagen
und Katastrophenfällen kann in Krisenzeiten
SEHR LANGE DAUERN
Rotes Kreuz
Was fällt euch ein, wenn ihr vom Roten Kreuz hört?
• International Committee of Red
Cross (ICRC)
• Das Internationale Komitee vom
Roten Kreuz (IKRK)
https://encrypted-tbn0.gstatic.com/images?q=tbn%3AANd9GcQC_H-A47Yj8TL26rPzXzO-y4TH5d2cLBX6vDz1nXXqIk1qWyhw
„Traditionelle“ humanitäre Krisen
https://www.icrc.org/en/where-we-work/europe-central-asia/ukraine
Neue Herausforderungen für ICRC
• Angriffe, die die Gesundheitsversorgung beeinträchtigen
könnten
• Angriffe auf kritische zivile Infrastrukturen, die
Versorgung der Zivilbevölkerung mit wesentlichen
Diensten beeinträchtigen können
• Dauerhafte Angriffe auf Internet Infrastruktur
• Cyber-Operationen während eines bewaffneten Konflikts
https://www.icrc.org/en/document/potential-human-cost-cyber-operations
• Der Schutz, den das bestehende
Humanitäre Recht bietet, und
mögliche Wege, um die
menschlichen Kosten während
Cyber-Operationen zu senken
Landes Weltweiter Cyber Angriff
Über 300 Mln
Wiederherstellungskosten
https://www.zdnet.com/article/maersk-forced-to-reinstall-4000-servers-45000-pcs-due-to-notpetya-attack/
Cyberkrieg oder nicht Cyberkrieg?
ZUSAMMENFASSUNG
https://www.sans.org/reading-room/whitepapers/ICS/industrial-control-system-cyber-kill-chain-36297
WAS
PASSIERT
HIER?
SANS: ICS Cyber-Killchain
Benötigte Wissen für CPS Exploits Entwicklung
Product
Catalyst
Ethylene
0 10 20 30 40 50 60 702.780
2.790
2.800
2.810
2.820
Hours
kP
a g
au
ge
Sensor signal
ObsWin
AtkWin
Attack value
Overall max
Observed max
nn/e
0 10 20 30 40 50 60 72
3600
3650
3700
3750
Hours
kg/h
D feed
Mean
= 2.7
Outlier
Benötigte Wissen für CPS Exploits Entwicklung
Interdisziplinäre Angriffsteams
• Der Ursprung des Angriffs wurde auf
das zentrale wissenschaftliche
Forschungsinstitut für Chemie und
Mechanik in Moskau, Russland,
eingegrenzt.
• Ungewöhnlicher/neuer Modus
Operandi für offensive Operationen
https://www.fireeye.com/blog/threat-research/2018/10/triton-attribution-russian-government-owned-lab-most-likely-built-tools.html
Eindringungen über Lieferkette
Vertrauenswürdige
Drittanbieter und
Lieferanten
Verzögerung zwischen Regulierung & Angriffe60
10 Jahre VorsprungX Jahre Rückstand
?? Jahre Rückstand
Marina Krotofil@marmushamarmusha@gmail.com
Q & A