Wie die Ermittler des Wasserangriffs in Florida eine peinliche Fehleinschätzung vermieden haben

Cyber Security News

Eine Luftaufnahme einer Kläranlage in Kalifornien. Der Versuch, die Wasserversorgung von Oldsmar, Florida, durch die Entführung eines Fernzugriffssystems zu vergiften, zeigt die kritische Bedrohung, die mit dem Versagen einer ordnungsgemäßen Sicherung der Betriebstechnologie verbunden ist. (Foto: Justin Sullivan/Getty Images)

Nach der Kompromittierung und versuchten Sabotage der Bruce T. Haddock Water Treatment Plant in Oldsmar, Florida, Anfang des Jahres, führten die Bedrohungsanalysten des ICS-Sicherheitsunternehmens Dragos eine Untersuchung des Vorfalls durch – und für einen kurzen Moment sah es so aus, als hätten sie eine Bombe entdeckt.

Dragos entdeckte einen Wasserloch-Angriff, der eine Website – betrieben von einem in Florida ansässigen Wasserversorgungsunternehmen – kompromittiert hatte, die Besucher mit bösartigem Code infiziert hatte. Außerdem hatte ein Benutzer des Werks in Oldsmar die Website genau am Tag des Angriffs besucht. Die Entdeckung ließ die Alarmglocken schrillen – doch Dragos stellte schließlich fest, dass die Entdeckung nichts mit dem Vorfall in Oldsmar zu tun hatte, bei dem ein Angreifer TeamViewer ausnutzte, um die Steuerung der Anlage zu übernehmen und dann versuchte, die Laugenmenge im Wasser auf gefährliche Werte zu erhöhen.

Laut Dragos scheint der Zweck der bei der Watering-Hole-Attacke verbreiteten Malware zu sein, Daten über die Opfer zu sammeln (z. B. Betriebssystem, Browser, Vorhandensein von Kamera und Mikrofon und mehr) und Fingerabdrücke von ihnen zu erstellen. Dragos glaubt, dass die Motivation hinter diesen Aktionen einfach darin besteht, das Botnetz der Angreifer, Tofsee genannt, zu trainieren, um legitime Browser-Aktivitäten besser zu imitieren, damit sein zukünftiges Verhalten für Cyber-Lösungen realistischer aussieht.

In den Worten von Sergio Caltagirone, Vice President of Threat Intel bei Dragos, entpuppte sich das Vorhaben als ein “Nichtsnutz”. Nichtsdestotrotz lässt sich aus der Art und Weise, wie Dragos mit dem Vorfall umgegangen ist, eine wertvolle Lektion ableiten. Das Unternehmen fand die Entdeckung besorgniserregend genug, um sie den relevanten Parteien mitzuteilen, war aber vorsichtig, die Öffentlichkeit nicht zu alarmieren – nicht, als es den Vorfall in Oldsmar nicht mit Sicherheit dem Angriff auf das Wasserloch zuordnen konnte.

Die Balance zwischen rechtzeitiger Information und vollständiger Information zu finden, war in diesem Fall der Schlüssel, sagte Caltagirone, der in einem Interview mit SC Media eine Zusammenfassung der Untersuchung und des Offenlegungsprozesses des Unternehmens bot.

Nach dem Vorfall in Oldsmar suchte das Dragos-Team nach Hinweisen oder Aktivitäten im Zusammenhang mit dem Angriff. Führen Sie mich durch den Untersuchungsprozess und was zur Entdeckung des Angriffs auf das Wasserloch führte.

Wir untersuchten die globale Internetverkehrstelemetrie. Wir haben Datenquellen, die uns Datenflüsse im Internet zeigen. Und so suchen wir nach anomaler und interessanter Aktivität darin, die von potenziellen Opfern kommt. Wenn wir ein Opfer finden, bei dem etwas passiert ist… dann schauen wir uns an, was um diesen Vorfall herum passiert, um zu sehen, was wir finden können. Wir haben uns also Dinge wie anomalen RDP-Verkehr angesehen… wir haben nach interessantem Verkehr rund um TeamViewer gesucht… und schließlich sind wir unseren ersten Durchlauf an Hypothesen durchgegangen und haben uns gefragt: “Was gibt es hier noch?”

Dann haben wir etwas gemacht, das man… subtraktive Analyse nennt, bei der man alles entfernt, was man für interessant hält, und sich ansieht, was übrig bleibt. Wir begannen zu schauen, was in den Daten übrig blieb, und wir begannen, diese Ströme aus Oldsmar im gleichen Zeitraum zu finden [of the attack] zu einem Server in der Schweiz. Und wir dachten uns: “Was ist hier los? Das ist einfach seltsam. Warum spricht Oldsmar mit diesem Server in der Schweiz?”

Wir gingen der Sache nach und fanden heraus, dass sie zu dieser Website gingen. Wir sprachen dann mit… nicht nur mit dem Besitzer der Website, sondern auch mit dem Hosting-Service. Sie gaben uns eine ganze Reihe von Daten, und da fanden wir heraus, dass auf dieser Website dieser stark verschleierte JavaScript-Code sitzt, der seit drei Jahren nicht mehr angerührt wurde. Und Oldsmar hat ihn zufällig am Morgen des Angriffs angefasst.

Offensichtlich gingen die Alarmglocken los. Weil… wir wissen, dass die Gegner in unserem ICS-Raum Wasserlöcher ausnutzen.

Nachdem Sie das entdeckt hatten, wie sind Sie gegen die Offenlegung vorgegangen?

Wir haben sofort ein paar Wasserversorgungsverbände angerufen und einige Staaten und einige nationale Organisationen und so weiter einbezogen.

Wir schrieben im Grunde eine kurze Zusammenfassung: “Hier ist, was wir gefunden haben, hier ist die Website. Wenn Sie das anfassen, wissen wir noch nicht, was das ist, aber… Sie sollten sich das mal ansehen.” Und das tun wir immer. Wir versuchen, die Leute frühzeitig zu warnen, bevor wir vielleicht nicht alles wissen, was passiert. Und auf diese Weise kann natürlich Schlimmeres verhindert werden.

Wir haben dann etwa zwei Wochen gebraucht, um den gesamten JavaScript-Code zurückzuentwickeln. Er war wirklich stark verschleiert. Und wir fanden heraus, dass er diese seltsamen Fingerprinting-Techniken verwendete, um die verschlüsselten Handshake-Protokolle zu erfassen, die von den Besuchern verwendet wurden.

Es erfasste Dinge wie Browser-Details, welche Erweiterungen installiert waren, und solche Dinge. Und all das wurde an einen Server zurückgeschickt, der in einer Salesforce-App gehostet wurde – dem Heroku-App-Store, der eine Art virtueller Server ist. Sie speicherten es in dieser PostgreSQL-Datenbank. Wir kontaktierten Salesforce und arbeiteten mit ihnen am Backend, wo wir die Telemetrie von jedem erhielten, der mit dem Skript sprach.

Und dann haben wir [followed the threat back to a] Dark-Web-Marktplatz. Wir haben am Ende aufgedeckt, dass [the attackers compromised] eine WordPress-Website, die seit einer Weile nicht mehr aktualisiert worden war, und auf der sie ihr Skript gehostet hatten und Browser-Fingerprints sammelten, um ihren Botnet-Verkehr im Grunde zu verschleiern, damit sie an Palo Alto und Cisco und all den Firewalls vorbeikommen konnten, die den gesamten Verkehr jetzt intelligenter herausfiltern können.

Wir haben öffentlich darüber berichtet, obwohl es bis zu einem gewissen Grad eine Art Nullnummer war, eher als Aufklärung darüber, dass es hier draußen Wasserlöcher gibt – sie treffen diese Nischenseiten.

[Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/05/Sergio-300x300.jpeg]Sergio Caltagirone, Dragos.

Es mag zwar ein Nichts gewesen sein, aber würden Sie nicht zustimmen, dass es trotzdem eine wertvolle Lektion für Cyber-Organisationen über die Wichtigkeit der Sorgfaltspflicht und das Praktizieren von verantwortungsvollem Reporting und Attribution ist – besonders wenn man bedenkt, dass der Wasserloch-Angriff ein Ablenkungsmanöver war?

Innerhalb von eineinhalb Tagen passierte diese massiv interessante Sache, die mit dem [the Oldsmar attack]… Manchmal denkt man, man sei auf einer Diamantenmine gelandet … Und dann haben wir am Ende etwa einen Monat Arbeit damit verbracht, das alles auseinanderzunehmen, herauszufinden, wer dahinter steckt, warum sie es getan haben, und am Ende sagten wir: “Nun, das war einfach … ein sehr interessanter Zufall.”

Intelligenz ist entscheidend… Ich denke, es gibt zwei Dinge, die man ausbalancieren muss. Man muss Vollständigkeit und Pünktlichkeit ausbalancieren, und normalerweise kommen diese Dinge nicht zusammen. Wenn man schnell sein will, kann man normalerweise nicht vollständig sein. Wenn Sie vollständig sein wollen, können Sie nicht schnell sein. In der Informationstechnik ist es entweder das eine oder das andere.

Und so opfern wir in unserer Welt, in der wir das Gefühl haben, dass die Verteidiger sofort handeln müssen, die Vollständigkeit für die Pünktlichkeit. Aber wozu wir nicht neigen, ist die öffentliche Bekanntgabe. Und der Grund dafür ist, dass es am Ende eine Menge Wasser trübt… Ich liebe die Arbeit, die Reporter machen, aber es führt dazu, dass die Reporter [sense] Blut im Wasser und jeder springt auf [it]. Und eines der Dinge, die meine Kunden hassen, ist, dass sie, anstatt ihr Netzwerk zu schützen, nun auf Medienanfragen reagieren oder mit Führungskräften arbeiten müssen, die von ihrem Vorstand oder den Medien befragt werden.

Eines der Dinge, die wir versuchen auszubalancieren, ist die Überschwänglichkeit der Cybersicherheit. Wenn diese Geschichten entstehen, gibt es diesen riesigen Schaum, der existiert, und er erlaubt den Verteidigern nicht den Raum und die Zeit, die sie brauchen, um die Recherche zur Verteidigung der Umgebung durchzuführen. Und das ist einer der Gründe, warum wir nicht an die Öffentlichkeit gegangen sind, obwohl dies eine gigantische Sache hätte werden können. Wir gingen zu den Verbänden der Wasserversorger und sagten: “Hey, hier ist, was los ist, hier ist, was wir wissen.” Wir haben die öffentliche Bekanntmachung vermieden. Auch wenn wir vielleicht mehr Leute erreicht hätten, hätte das wahrscheinlich mehr Schaden angerichtet. Es hätte unseren Job schwieriger gemacht, es hätte den Job des Verteidigers schwieriger gemacht. [Once we learned more,] Wir sagten: “Okay, da wir jetzt so oder so etwas wissen, lasst uns an die Öffentlichkeit gehen und die Geschichte erzählen, wie das alles funktioniert.” Es ist also ein Balanceakt. Die Frage, die wir immer im Kopf haben, ist: Wie kommen die Informationen und Erkenntnisse am besten zu den Leuten, die etwas tun können? Und wenn es über die Medien geht – wenn ich das den Medien sagen muss, weil mehr Stromversorger auf der ganzen Welt zuhören werden, als wenn ich heute mit 20 Regierungen spreche – dann treffen wir manchmal die Entscheidung, dass die Medien der beste Weg sind, um die breitere Öffentlichkeit zu informieren.

Nachdem Sie herausgefunden hatten, dass die Hauptfunktion der Malware das Erstellen von Fingerabdrücken war, bestand der nächste Schritt wohl darin, herauszufinden, was die wahrscheinliche Motivation des Angreifers war. Als Sie die möglichen Szenarien durchgingen, was hat Sie zu der Theorie veranlasst, dass die Angreifer einfach nur versuchten, ihr Botnet zu verbessern, im Gegensatz zu einem größeren Plan, bei dem das Fingerprinting eines von mehreren Werkzeugen war, die in einem potenziellen Sabotageakt eingesetzt wurden?

Bei jeder Arbeit können wir nie alle Hypothesen ausschließen. Aber wir nehmen einen alternativen, konkurrierenden Hypothesen-Ansatz… Man baut Beweise für oder gegen jede dieser Hypothesen auf, und dann kommt man zu einer Liste von… den wahrscheinlichsten, und dann kommt man zu [ranking] Ihre Hypothesen.

Als wir schließlich immer tiefer und tiefer gruben, fanden wir schließlich die Botnets, die dafür verantwortlich waren, was hier vor sich ging, und wie sie es nutzten. Und wir arbeiteten mit anderen Sicherheitsunternehmen und Dienstleistern in diesem Bereich zusammen, die mehr als wir darüber wussten, was die Botnets taten, und es wurde sehr deutlich.

Die Herausforderung dabei ist natürlich, dass Botnets von Natur aus nur einen allgemeinen Zugang ermöglichen. Sie können auf viele verschiedene Arten genutzt werden, um ein Opfer zu kompromittieren… Sie können als [a minor] Gegner und finden dann plötzlich heraus, dass sie sich in einem Wasserversorgungsunternehmen befinden und denken sich: “Hey, ich kenne jemanden in meiner Regierung, der diese Art von Zugang kaufen würde.” Und dann werden sie plötzlich viel interessanter für die Leute, als sie es als Botnet waren. Wir sind also immer auf der Suche nach so etwas.

Aber das Problem ist, dass solche Ereignisse immer noch sehr selten sind, also müssen wir die Wahrscheinlichkeit, dass es passiert, mit den tatsächlichen Auswirkungen abwägen.

Erzählen Sie mir mehr über den Dark-Web-Marktplatz, von dem Sie entdeckt haben, dass er ebenfalls von demselben Tofnee-Botnet-Akteur unterwandert wurde. Was haben Sie daraus über die Angreifer gelernt?

Die Dark-Web-Website war unseres Wissens nach ein Frontend für die Kontrolleure. Dort haben sie also im Grunde den Zugang zu dieser Fähigkeit verkauft. Die Arbeit, die wir geleistet haben, geschah in Zusammenarbeit mit mehreren anderen Sicherheitsunternehmen, die… in der Lage waren, zu sehen, was das Botnet tat, hinter welchen Daten sie her waren, wofür sie das Botnet nutzten und an wen sie es verkauften.

Wir erkannten, dass die [attacker] Profil nicht auf jemanden passte, der es auf Wasser abgesehen hatte. Es handelte sich um allgemeine Warenkriminalität, die vor sich ging. Es hatte nichts mit ICS zu tun. Sie wollten offensichtlich keine Aufmerksamkeit. Sie versuchten nicht, etwas in die Luft zu jagen, sozusagen, weil sie damit ihre eigenen Operationen ruinieren würden. Es war eine sehr kleine Operation, sie war winzig. Wenn wir über die Motivationen und Absichten der Akteure sprechen, gab es nichts, was mit dem übereinstimmte, was man bei Angriffen auf die Wasserversorgung als kritisches Gut sieht.

Die meisten böswilligen Betreiber da draußen haben kein Interesse an Berühmtheit, und in der Tat schadet es ihrer Operation… weil es einfach zu viel Druck auf sie ausübt. Dies ist einer der Gründe, warum wir vermuten, dass Crimeware im Allgemeinen nicht auf ICS abzielt.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com