Rhebo Industrial Protector registrierte mehrfach Kommunikation über die Protokolltypen VNC, NetBIOS und SMB. Diese werden üblicherweise von Windows-Geräten zur Remote-Konfiguration und zum Freigeben von Dateien genutzt.

‍

Ihr Auftreten ist in industriellen Netzwerken in der Regel unerwünscht.

Die Protokolle werden häufig von Schadsoftware verwendet (z. B. NotPetya und WannaCry). Haben die betroffenen Geräte direkt oder indirekt Zugang zum Internet, kann eine Kompromittierung und der Versuch einer Infektion vorliegen.‍

‍

Auswirkungen:

• Verlust durch Produktionsausfall
• Versorgungsausfall durch Blackout
• Kosten für Systemwiederherstellung und Reparatur

Rhebo Industrial Protector registriert immer wieder Kommunikation über Ports, für die Sicherheitslücken bekannt sind. In verschiedenen Fällen korreliert diese Meldung mit verdächtigen Verhaltensmustern.

‍

Zum Beispiel fand sich in einem Fall Kommunikation über einen fragwürdigen Port, der vom Windows WBT Server für Remote Desktop Protocol (RDP) benutzt wird. Bei der Kommunikation wurden nur wenige Pakete übertragen, was für RDP-Verbindungen uncharakteristisch ist.

Ports, für die Sicherheitslücken bekannt sind, werden regelmäßig von Trojanern und Schadsoftware zur Kommunikation genutzt. Die Charakteristik der beispielhaften Kommunikation (kurzzeitig und verschlüsselt) unterstützt zusätzlich die Vermutung bösartiger Kommunikation und einer Kompromittierung von Netzwerkkomponenten.‍

‍

Auswirkungen:

• Verlust durch Produktionsausfall
• Versorgungsausfall durch Blackout
• Kosten für Systemwiederherstellung und Reparatur
• Vertrauensverlust

Bei der Analyse wurde erkannt, dass Geräte über Software kommunizieren, für die in der vorliegenden Version gravierende Sicherheitslücken bekannt sind.

‍

Auffällig waren vor allem die genutzten Ports sowie die Zugriffsmuster.

Die bekannten Sicherheitslücken ermöglichen Angreifenden u.a. das System zum Absturz zu bringen oder beliebigen Code (z. B. Malware) auszuführen. Die Systemsicherheit ist damit akut gefährdet.‍

‍

Auswirkungen:

• Verlust durch Produktionsausfall
• Versorgungsausfall durch Blackout
• Kosten für Systemwiederherstellung und Anlagenreparatur

Ein Gerät im Steuerungsnetz weist eine selbstständig zugewiesene Fallback-IP-Adresse auf.

‍

Diese Auffälligkeit kommt oft dann vor, wenn ein neues Gerät aus verschiedenen Gründen keine IP-Adresse vom autorisierten DHCP-Server erhält.

‍

Das Gerät ist offenbar im Netzwerk nicht bekannt.

Es besteht die Gefahr, dass das Gerät mit bösartiger Absicht platziert wurde, um das Netzwerk auszuspionieren oder Malware zu installieren. Weiterhin können unbekannte Geräte mit ihrer Kommunikation die Funktionalität des Netzwerks beeinträchtigen und so zu Störungen oder Ausfällen führen.‍

‍

Auswirkungen:

• Verluste durch Know-How-Diebstahl
• Verlust durch Störung der Produktion
• Vertrauensverlust

Rhebo Industrial Protector registrierte sehr viele DNS-Anfragen zu Servern im Internet, die in den Adressbereichen verschiedener CDNs (Content Distribution Networks) liegen.

‍

Die angefragten Server liegen im Internet und es ist nicht ersichtlich, welcher Betreiber sich dahinter verbirgt.

‍

Es besteht die Gefahr, dass über solche Server Malware bzw. Ransomware im Netzwerk installiert wird. Weiterhin können Angreifende diesen Zugang für Industriespionage nutzen.‍

‍

Auswirkungen:

• Verluste durch Know-How-Diebstahl
• langfristig Kosten durch Downtime
• Vertrauensverlust