Kritische Infrastrukturen: Der Blackout am 23. Dezember 2015 in der Ukraine war der weltweit erste, der durch einen Hackerangriff verursacht wurde und stellt somit einen Präzedenzfall dar.
Ablauf des Blackouts
Am 23. Dezember 2015 gegen 15 Uhr gingen in der westukrainischen Region Ivano-Frankiwsk unerwartet sieben 110 kV und dreiundzwanzig 35 kV Umspannwerke für mehrere Stunden vom Netz. Insgesamt waren drei unterschiedliche Stromversorger betroffen. Bis die Verteilnetzbetreiber in der Lage waren, die abgekoppelten Anlagen wieder in Betrieb zu nehmen, blieben etwa 225.000 Kunden ohne Strom.
Sofort nach dem Angriff behaupteten ukrainische Regierungsbeamte, dass die Ausfälle durch einen Hackerangriff hervorgerufen worden seien, und machten den russischen Geheimdienst hierfür verantwortlich. Dies löste mehrere nationale und internationale Untersuchungen des Vorfalls aus. Auch private Firmen und die U.S. Regierung boten Hilfe bei der Aufklärung der Vorgänge an. Der vorliegende Artikel basiert auf einem Whitepaper von E-ISAC und ICS-SANS und einem Bericht des Department of Homeland Security.
Wiewohl die Stromversorgung relativ schnell wiederhergestellt werden konnte und nur ein kleiner Teil der ukrainischen Bevölkerung betroffen war, ist der Vorfall alarmierend und wirft Fragen nach der Sicherheit kritischer Infrastrukturen auf. Die Langfristigkeit und großräumige Koordination des Angriffs, Zeitpunkt und Zielauswahl sprechen für einen politisch motivierten Akteur mit großen Ressourcen.
Analyse des Hackerangriffs
Die angegriffenen Firmen verfügten wie üblich über eine IT-Umgebung für die Verwaltung und eine gesonderte IT-Umgebung für die Leittechnik der Stromnetze. Wenn auch die Steuerung des Netzes von einer Leitwarte aus erfolgte, war die Leittechnik jedoch über eine VPN-Verbindung mit dem Business-Netzwerk verbunden. Hiermit wurden zwei Arten von Zugriffen auf verschiedenen Ebenen auf die Leittechnik möglich: Erstens konnten auch auf Rechnern außerhalb der Leitwarte Clients der Leittechnik installiert werden, die über das VPN verbunden sind. Zweitens konnten Rechner der Leittechnik remote auf Betriebssystemebene administriert werden. Beides machten sich die Hacker zu Nutze.
Ein derartiger Angriff lässt sich selten vollständig aufklären und betroffene Firmen wie auch die Untersuchungskommissionen wollen vielleicht auch nicht alle Details öffentlich machen. Laut der genannten Dokumente lief der Angriff in etwa wie folgt ab.
1. Zielauswahl
Die betroffenen Firmen waren für den Zweck, die Stromversorgung der Ukraine zu sabotieren, besonders geeignet. Sie zeichneten sich durch einen hohen Automatisierungsgrad ihrer Verteilnetze aus, die eine Abkopplung mehrerer Umspannstationen remote ermöglichte.
Das wohlgewählte Ziel und der hochkoordinierte Angriff machen wahrscheinlich, dass vorab Recherchen stattgefunden haben und nicht lediglich eine günstige Gelegenheit genutzt wurde. Höchstwahrscheinlich wurde auch die verwendete Schadsoftware vorab an Testsystemen geprüft.
2. Eindringen in das Netzwerk der Verwaltung
Um in das IT-Netzwerk der Verwaltung der betroffenen Stromversorger einzudringen, statteten die Angreifer Microsoft Office Dokumente (Excel und Word) mit der Crimeware BlackEnergy aus. BlackEnergy ist ein professionelles Tool, das das Eindringen in fremde Systeme automatisiert und dem Angreifer eine dann eine Plattform zur Erkundung des Systems und zum Download weiterer Schadsoftware bereitstellt.
Mit BlackEnergy manipulierte Office-Dokumente wurden vornehmlich an Mitarbeiter in der Verwaltung der Versorgerfirmen versandt. Öffneten diese die Dokumente, so erschien ein Popup mit beispielsweise der Mitteilung, die Wordversion sei veraltet. Der Nutzer wurde aufgefordert, Makros im Dokument zu aktivieren, um das Dokument zu aktualisieren. Tat der Nutzer dies, ließ er die Schadsoftware aufs System. Ihm wurde daraufhin ein plausibles, unverdächtig erscheinendes Dokument angezeigt. War die Schadsoftware installiert, lagen dem Angreifer erste Informationen über die IT-Umgebung offen, er hatte Zugang zu dem infizierten System und konnte weitere Schadsoftware installieren.
Die Angreifer scheinen somit bereits mehr als sechs Monate vor dem Blackout am 23. Dezember 2015 Zugriff auf das System gehabt zu haben.
3. Erlangen von Benutzerrechten
Im Folgenden erkundeten die Angreifer die Netzwerkumgebung. Sie gelangten an Netzwerkzugangsinformationen und integrierten sich als legitime Netzwerknutzer mit hohen Benutzerrechten. Hiermit wurde es den Angreifern möglich, die VPN-Verbindung aus dem Netzwerk der Verwaltung in die IT-Umgebung der Leittechnik auszuspionieren.
4. Eindringen in die Leittechnik
Der Angreifer setzte nun „boshafte“ Clients der Leittechnik auf und drang mit diesen oder mittels der Remote-Administrationstools in die Leittechnik des Stromnetzes vor und späte diese aus.
5. Angriff
Der Angriff selbst erfolgte durch direkten Zugriff auf die Leittechnik. Die unterschiedlichen Versorger wurden mit weniger als 30 Minuten Abstand an mehreren zentralen und regionalen Standorten getroffen. Der Ablauf sah jeweils in etwa wie folgt aus:
- Übernahme der Kontrolle über die Leitwartenrechner
- Aussperrung der Leitwarten-Mitarbeiter aus dem System
- Remote-Abkopplung mehrerer Umspannstationen
- Installation der Schadsoftware KillDisk und Löschung von Systemdateien
- Denial-of-Service-Angriff auf das Callcenter des Energieversorgers mittels tausender automatisch generierter Telefonanrufe
KillDisk wurde dabei verwendet, um Systemdateien (wie z.B. Bootdateien) zu löschen und hiermit das Wiederhochfahren von Systemen zu verhindern. Hiermit wurden insbesondere die MMIs (Mensch-Maschine-Interfaces) der Netzleittechnik funktionsunfähig gemacht, um Bemühungen zur Wiederherstellung der Systemfunktionen zu vereiteln oder zu verzögern. Andere Dateien (z.B. Logdateien) wurden gelöscht, um Spuren des Angriffs zu verwischen.
Der Denial-of-Service Angriff auf das Callcenter des Energieversorgers mit tausenden automatisch generierter Anrufe hinderte Kunden daran, Ausfälle zu melden. Der Energieversorger blieb dadurch im Unklaren über das Ausmaß der Ausfälle. Weiterhin wurden Kunden verunsichert, deren Strom ausgefallen war und die den Versorger nicht erreichen konnten.
6. Fazit
Zusammenfassend waren BlackEnergy, Sicherheitslücken, KillDisk und andere Schadsoftware Hilfsmittel des Hackerangriffs, um Zugriff zu erhalten und die Wiederherstellung der Systeme zu verzögern. Ausgelöst wurde der Stromausfall dann durch direkte Eingriffe des Angreifers in die Leittechnik der Verteilnetze.
Sicherheitslücken
Zahlreiche Sicherheitslücken begünstigten den Angriff. Sensitive Informationen wie die verwendete IT-Infrastruktur mit Hersteller und Versionsnummer waren öffentlich auf den Internetseiten der Systemhersteller verfügbar.
Die VPNs aus dem Business Netzwerk in die Leittechnik des Stromnetzes hatten keine 2-Faktoren Authentifikation. Die Firewall ließ einen Remote-Adminzugriff unter Nutzung im System vorgesehener Möglichkeiten zu.
Die Netzwerkumgebung des Steuerungssystems wurde nicht routinemäßig überwacht. Eine Routinesuche nach Abnormalitäten und Bedrohungen verbunden mit aktiven Verteidigungsmaßnahmen wie einem Monitoring des Netzwerkes existierte nicht.
Diese Schwachstellen ermöglichten dem Angreifer, in der Netzwerkumgebung sechs Monate oder länger unerkannt zu verbleiben und die Umgebung für den nachfolgenden Angriff zu erkunden.
Lessons Learned
Bei dem Angriff auf die ukrainischen Verteilnetze hatte man es mit einem Angreifer zu tun, der offenbar über finanzielle Ressourcen und breites Knowhow verfügte. Er verwendete spezifisch für diesen Angriff angepasste Tools wie Spear Fishing Emails, Varianten der BlackEnergy Crimeware und adressatengerecht gestaltete, manipulierte Microsoft Office Dokumente. Der Angreifer war in der Lage, einen Denial-of-Service-Angriff auf das Callcenter aufzusetzen und kannte sich außerdem in den Prozessen und der IT-Infrastruktur eines Netzbetreibers aus. Der Angriff war von langer Hand geplant.
Die Netzbetreiber hingegen waren nicht optimal aufgestellt und wurden von dem Angriff überrascht, obwohl der politische Zustand der Ukraine zur Genüge Motive für Sabotage lieferte. Dennoch gelang es den betroffenen Versorgern, die Lage binnen drei Stunden aus eigener Kraft wieder unter Kontrolle zu bringen. Ein Katastrophenszenario, wie in dem Buch Blackout beschrieben, trat nicht ein. Vielleicht schießt man in einer echten Krise hilfreichen Leuten seltener ins Bein.
Sehr interessant und nah an dem Paper der E-ISAC! Danke dafür!
Danke! Ich hoffe, mein Artikel liest sich ein bisschen leichter als der Originalartikel.