Marina Krotofil

DefensiveCon, Berlin, Deutschland07-08.02.2020

RACE-TO-THE-BOTTOM: Die Entwicklung der Bedrohungslage

industrieller Steuerungssysteme (ICS) und

wie dies die Notwendigkeit der Regulierung

der CyberWaffen verändert

Über mich

• Ukrainische Deutsche, die in drei anderen Ländern lebte und arbeitete

• Senior Sicherheitsingenieurin für Automatisierung

• Spezialisierung auf die Red-Team Sicherheit der kritischen Infrastrukturen

• Fokus: Verursachung von physikalischen Schäden

− Wie man mittels Cyber-Angriffe etwas zum Absturz bringt, zerstört oder in die Luft jagt

Folien Vorbereitung hat spaß gemacht ;-)

Wie Englische Begriffe

auf Deutsch klingen

5 Minuten vor Ablauf der Frist -> so wird das Projekt abgeschlossen

Deadline Pferd

Einführung

Hier ist eine Anlage. Wie gehst du vor?

http://www.amerpipe.com/sites/default/files/refinery-pipe.jpghttps://www.alambassociates.com/wp-content/uploads/2016/10/Chemical-Plant.jpg

• Trivial! Schau dir mal den Stand der ICS Cyber Sicherheit an!

• Fast unmöglich! Diese Prozesse sind äußerst komplex und sicherheitstechnisch ausgereift! https://www.shutterstock.com/image-illustration/six-nine-matter-perspectives-1024980271

Zwei gegensätzliche Ansichten bezüglich

Ausführung der cyber-physikalischen Angriffen

Zwei gegensätzliche Ansichten

Typische Erwartung: WUNDER TASTE

https://www.alambassociates.com/wp-content/uploads/2016/10/Chemical-Plant.jpg

Angriffe mit strategischer & langfristiger Wirkung

• Angriffe für strategischen, dauerhaften Schaden sind

prozessspezifisch und erfordern ein gutes Prozessverständnis

• Angreifer muss ein detailliertes „Schadensszenario“

entwickeln

− Was bringt eine Pipeline zum Explodieren?

− Was bringt die richtige Pipeline zum Explodieren?

− Was bringt die richtige Pipeline im richtigen Moment

zum Explodieren?

Corporate IT

Industrial IT

Physikalisches

Prozess

Information

Technology (IT)

Betriebstechnik/Operational

Technology (OT)

Informatik

Ingenieurwesen

Industrial Control System (ICS)

Cyber-Physicalische Systeme

Cyber-Physikalische Systeme

sind IT-Systeme, die in eine

Anwendung in der physischen

Welt "eingebettet" sind

Typische ICS Netzwerkarchitektur

Level

0

Level

1

Level

2L

evel

3

Operations

Management

Level

4 Office

network

Internet & Cloud

SolutionsLevel

5

Physikalisches

Prozess

OT Netzwerk

IT Netzwerk

“Internet der Wolken”

Supervisory

Control

Field Control &

Safety systems

Physical process,

sensors, actuators

Fernzugang

„Traditionelle“ Ziele der Angreifer

Spionage,

Persistenz/Dauerhafter

Zugang, Aufklärung

Die Angriffe werden physischer…

Entstehende Trends:

Physikalische Schäden,

Ransomware

Angriffsziel, das in diesem Vortrag betrachtet ist

CorporateIT

IndustrialIT

Ziel des Angreifers

ICS Sicherheit

IT SicherheitCyber-Sicherheit

-> Übernahme

der Infrastruktur

OT securityAuswirkung auf dem

Betrieb -> Prozess

oder Ausstattung

ICS Sicherheit

Fokus dieses Vortrages

Industrieanlagen basieren auf Regelkreiskonzept

0 10 20 30 40 50 60 703550

3600

3650

3700

3750D Feed

Hours

kg

/h

0 10 20 30 40 50 60 7062.6

62.8

63

63.2

63.4

63.6D feed

Hours

%

Aktuatoren

Steurungs

system

SensorenSollwert

Bedienstation

Prozess

Optimierung

Applikationen

Industrielle Netzwerkarchitektur

De

fin

itio

n d

er

Na

hze

ita

blä

ufe

Field

Instrumentation

Controllers

(Regulatory

control)

HMI

(Supervisory

control)

Optimization

Applications

Planning and

management

Eingebettete Systeme

https://vecer.mk/files/article/2017/05/02/485749-saudiska-arabija-ja-kupi-najgolemata-naftena-rafinerija-vo-sad.jpg http://www.jfwhite.com/Collateral/Images/English-US/Galleries/middleboro9115kvbreakers.jpg https://www.roboticsbusinessreview.com/wp-content/uploads/2016/05/jaguar-factory.jpg

https://selinc.com/uploadedImages/Web/Videos/Playlists/Playlist_RTAC_1280x720.png?n=63584758126000 http://www02.abb.com/global/seitp/seitp202.nsf/0/0601d25ed243cfb0c1257d7e0043e50e/$file/7184_lvl2.jpg

https://www.oilandgasproductnews.com/files/slides/locale_image/medium/0089/22183_en_16f9d_8738_honeywell-

process-solutions-rtu2020-process-controller.jpg

Cyber-Physikalischer Angriff

20

https://vecer.mk/files/article/2017/05/02/485749-saudiska-arabija-ja-kupi-najgolemata-naftena-rafinerija-vo-sad.jpg http://www.jfwhite.com/Collateral/Images/English-US/Galleries/middleboro9115kvbreakers.jpg https://www.roboticsbusinessreview.com/wp-content/uploads/2016/05/jaguar-factory.jpg

http://magazine.scientificmalaysian.com/wp-content/uploads/2013/12/Oil-refinery-explosion.png

CYBER

PHYSICAL

Sicherheit gg. Betriebssicherheit

TimeIncident

Safety measuresSecurity infridgements

(Cyber)Sicherheits

vorfall

Bedrohungen Gefährdungen

Schichten der

Betriebssicherheitsmaßnahmen

Zeit

Schichten der

Sicherheitsmaßnahmen

Sicherheits-Zwiebeln

http://zentekconsulting.com/wp-content/uploads/2016/03/Defense-in-Depth-Graphic-e1478548099459.png

Betriebssicherheits-Zwiebeln

https://images.app.goo.gl/sMB2FNVEs4AKNLPB9

Gefährdungen und Betriebssicherheitsschichten

Der schlimmster Fall eines ICS Angriffes

https://www.cyberark.com/threat-research-blog/anatomy-triton-malware-attack/

Ein Angriff auf ein

Sicherheitssystem kann das

SCHÄDLICHSTE Ergebnis

eines cyber-physikalischen

Angriffs verursachen

Race-to-the-Bottom in IT Sicherheit

Angreifer gg. Verteidiger27

Angreifer gg. Verteidiger Fertigkeiten28

https://u

plo

ad.w

ikim

ed

ia.o

rg/w

ikip

ed

ia/c

om

mons/t

hu

mb/f

/fb/H

ackin

g_C

ore

bo

ot.jp

g/8

00

px-H

ackin

g_C

ore

boot.

jpg

https://u

plo

ad.w

ikim

ed

ia.o

rg/w

ikip

ed

ia/c

om

mons/t

hu

mb/f

/fb/H

ackin

g_C

ore

bo

ot.jp

g/8

00

px-H

ackin

g_C

ore

boot.

jpg

Sicherheit ist ein bewegliches Ziel29

Ein moderner Computer ist nicht mehr30

nur ein Computer…..

Trend zwischen Angreifern und Verteidigern

EVOLUTION DER ICS EXPLOITS

ICS Gefährdungslage hat sich verändert

Unglaubliche Menge der

täglichen AngriffeNiemand weiß von

unserer Existenz

Intelligente Feldgeräte

Analoger Temperatursensor Intelligenter

Temperaturtransmitter mit

Webserver und IP Adresse

20172015 2016

Angriff auf das

ukrainische

Stromnetz

(Industroyer)

Angriff auf das

ukrainische

Stromnetz

(BlackEnergy)

TRITON

Öffentlich bekannte

cyber-physische Angriffe

Geplante Operation

zur Verhinderung des

iranischen

Atomprogramms

(Stuxnet)

Erster

automatisierter

OT-

Aufklärungs-

angriff (HAVEX)

Aufklärung und Bewaffnung von

Fähigkeiten

1999 2010 2013

Erste aktive

Aufklärungen und

Einbruchsversuche

Erfolgreiche cyber-

physikalische

Experimente

htt

ps:/

/qp

h.f

s.q

uo

racd

n.n

et/

main

-qim

g-f

741

c6

e5

db3

2b

87

f282

e5

44

48

a21

29

ce

https://www.schneider-electric.com/ww/en/Images/tricon-IC-654x654.jpg

htt

ps:/

/ww

w.b

ankin

fosecuri

ty.c

om

/ukra

inia

n-p

ow

er-

grid

-hacke

d-a

-87

79

Kurze Geschichte von ICS Angriffen

TRITON in Nachrichten36

36

TRITON Angriff

Angreifer erhielte

Fernzugang zum

Sicherheitsstem-

Kommunikationsnetz

Dual-homed SIS

Eng. Workstation

TRITON Implantat Funktionalitäten

TriStation protocol

"Dein Wunsch ist

mir Befehl"

imain.bin + inject.bin

trilog.exe

• script_test.py

• library.zip

• inject.bin

• imain.bin

• Der Angreifer versuchte, ein passives Implantat in die Speicher der

Sicherheitssteuerung einzuschleusen− Läuft als Benutzerprogramm auf dem Controller, Wird aktiviert durch ein spezielles

Netzwerkpaket

− Lesen / Schreiben / Ausführen aus dem Speicher

Triconex safety controller (SSPS)

TRITON Implantat

Firmware

Steurungsprogram

Bediener

Triconex

TRITON Worst-Case-Szenario40

Architecture of model 3008 Main Processor

I/O Signale

TRITON

https://www.nrc.gov/docs/ML0932/ML093290420.pdf

TRICONEX: Safety Integrity Level (SIL3)41

http://iom.invensys.com/EN/pdfLibrary/Datasheet_Triconex_TriconSIL3_06-11.pdf

htt

ps:/

/ww

w.v

alv

em

ag

azin

e.c

om

/we

b-o

nly

/ca

teg

ori

es/e

nd

-use

r-in

du

str

ies/8

48

1-

ho

w-v

alv

e-s

ele

ctio

n-c

an

-im

pa

ct-

sis

-in

-re

fin

ing

-ap

plic

atio

ns.h

tml

Race-to-the-Bottom in ICS

Level

0L

evel

1

Physical process,

sensors, actuators

Field control &

safety systems

Level

2

Supervisory

control

Level

3

Operations

Management

Level

4

Office

network

Internet & Cloud

Solutions

Leve

l 5

TRITON

(2017)

BlackEnergy3

(2015)

Industroyer

(2016)

Physical

process

Steurungssystem

Industrielle

Protocolle

Bedienstation

Keine offiziellen Bedenken43

Die potenziellen menschlichen Kosten von Cyber-Operationen

Die Angriffe werden fortgeschrittener

Hacker haben nur 600 MAC-Adressen im

Visier, 2019

Über 500.000 betroffene

Geräte, 2018 Hacker zielten auf spezifische

Aufzeichnungen von 20 Personen ab, 2019

https://blog.talosintelligence.com/2018/05/VPNFilter.html

https://www.zdnet.com/article/asus-releases-fix-for-live-update-tool-abused-in-shadowhammer-attack/

htt

ps:/

/ww

w.c

po

ma

ga

zin

e.c

om

/cyb

er-

se

cu

rity

/ch

ine

se

-

ha

cke

rs-d

em

on

str

ate

-th

eir

-glo

ba

l-cyb

er-

esp

ion

ag

e-r

ea

ch

-

with

-bre

ach

-at-

10

-of-

the

-wo

rld

s-b

igg

est-

tele

co

ms/

Landesweiter Cyber Angriff

Am 27. Juni 2017 wurde die Ukraine am Vorabend des Verfassungsfeiertages

von einem massiven Cyber Angriff (NotPetya-Ransomware) getroffen

https://twitter.com/MaximEristavi/status/879712719535996928

So zentralisiert Gesundheitsministerium beispielsweise die Verteilung von Medikamenten über das riesige Gebiet der 24 Regionen der Ukraine. Wenn den

Krankenhäusern in diesen Regionen die Medikamente für die Patienten ausgehen, wenden sie sich an das Ministerium, um Medikamente zu

beschaffen. Entweder das Ministerium hat sie, oder sie finden sie in anderen Regionen und schicken sie in die bedürftige Region.

"Aber wir können diese Anfragen im Moment nicht weiterleiten außer per Telefon, also stellen Sie sich vor, wie lähmend das für uns ist", sagt ein

verärgerter Suprun. "Was früher eine einzige E-Mail erforderte, die in die 24 Regionen kopiert wurde, erfordert jetzt 24 separate Telefonanrufe, bevor

wir die Medikamente finden können"

Neue Art der humanitäre Krise

https://www.bbc.com/future/article/20170704-the-day-a-mysterious-cyber-attack-crippled-ukraine

Herausforderungen der Wiederherstellung

• Infrastruktur Wiederstellung ist arbeitsintensive

• Wenig Training für das Personal

(Kosteneinsparungen)

• Verlass auf Drittanbieter für die

Wiederherstellung

• Die Wiederherstellungsprozedere wurden kaum

getestet

• Häufig - keine Backups

• Die Wiederherstellung in Großschadenslagen

und Katastrophenfällen kann in Krisenzeiten

SEHR LANGE DAUERN

Rotes Kreuz

Was fällt euch ein, wenn ihr vom Roten Kreuz hört?

• International Committee of Red

Cross (ICRC)

• Das Internationale Komitee vom

Roten Kreuz (IKRK)

https://encrypted-tbn0.gstatic.com/images?q=tbn%3AANd9GcQC_H-A47Yj8TL26rPzXzO-y4TH5d2cLBX6vDz1nXXqIk1qWyhw

„Traditionelle“ humanitäre Krisen

https://www.icrc.org/en/where-we-work/europe-central-asia/ukraine

Neue Herausforderungen für ICRC

• Angriffe, die die Gesundheitsversorgung beeinträchtigen

könnten

• Angriffe auf kritische zivile Infrastrukturen, die

Versorgung der Zivilbevölkerung mit wesentlichen

Diensten beeinträchtigen können

• Dauerhafte Angriffe auf Internet Infrastruktur

• Cyber-Operationen während eines bewaffneten Konflikts

https://www.icrc.org/en/document/potential-human-cost-cyber-operations

• Der Schutz, den das bestehende

Humanitäre Recht bietet, und

mögliche Wege, um die

menschlichen Kosten während

Cyber-Operationen zu senken

Landes Weltweiter Cyber Angriff

Über 300 Mln

Wiederherstellungskosten

https://www.zdnet.com/article/maersk-forced-to-reinstall-4000-servers-45000-pcs-due-to-notpetya-attack/

Cyberkrieg oder nicht Cyberkrieg?

ZUSAMMENFASSUNG

https://www.sans.org/reading-room/whitepapers/ICS/industrial-control-system-cyber-kill-chain-36297

WAS

PASSIERT

HIER?

SANS: ICS Cyber-Killchain

Benötigte Wissen für CPS Exploits Entwicklung

Product

Catalyst

Ethylene

0 10 20 30 40 50 60 702.780

2.790

2.800

2.810

2.820

Hours

kP

a g

au

ge

Sensor signal

ObsWin

AtkWin

Attack value

Overall max

Observed max

nn/e

0 10 20 30 40 50 60 72

3600

3650

3700

3750

Hours

kg/h

D feed

Mean

= 2.7

Outlier

Benötigte Wissen für CPS Exploits Entwicklung

Interdisziplinäre Angriffsteams

• Der Ursprung des Angriffs wurde auf

das zentrale wissenschaftliche

Forschungsinstitut für Chemie und

Mechanik in Moskau, Russland,

eingegrenzt.

• Ungewöhnlicher/neuer Modus

Operandi für offensive Operationen

https://www.fireeye.com/blog/threat-research/2018/10/triton-attribution-russian-government-owned-lab-most-likely-built-tools.html

Eindringungen über Lieferkette

Vertrauenswürdige

Drittanbieter und

Lieferanten

Verzögerung zwischen Regulierung & Angriffe60

10 Jahre VorsprungX Jahre Rückstand

?? Jahre Rückstand

Marina Krotofil@marmushamarmusha@gmail.com

Q & A