In einer Unterstation eines großen Verteilnetzbetreibers hatte Rhebo Industrial Protector verdächtiges Verhalten festgestellt. Eine Software versuchte wiederholt, sich über TCP mit anderen Systemen innerhalb des Subnetzes zu verbinden. Letztlich schlug die Kommunikation fehl, aber die Anomalieerkennung wertete sie als Scan-Versuche.
Angriffe über autorisierte Kanäle
Rhebo Industrial Protector übermittelte den Kontrollraummitarbeitern die IP-Adresse des Quellgeräts. Da alle autorisierten Geräte bereits von Rhebo während der anfänglichen ICS-Analyse identifiziert und von den Cybersecurity-Mitarbeitern überprüft worden waren, wurde die verdächtige Kommunikation gefunden und als ein registrierter Wartungs-Laptop identifiziert. Der Besitzer des Laptops wurde sofort kontaktiert und angewiesen, den Laptop vom Netz zu nehmen und ihn der IT-Abteilung zu übergeben.
Netzwerk-Scans und ein veraltetes Windows-Betriebssystem
Der Laptop lief unter einem veralteten Windows-Betriebssystem, da die Konfigurationssoftware nicht mit neueren Versionen kompatibel war. Dadurch war der Laptop anfällig für Sicherheitslücken, die in neueren Windows-Versionen geschlossen worden waren. Wie die weitere Analyse ergab, war auf dem Laptop eine Malware aktiv. Die Kommunikation der Malware war wahrscheinlich ein Versuch, nach identischen Instanzen der Malware im Netz zu suchen.
Da der Wartungs-Laptop direkt mit einem Switch im Umspannwerk verbunden war, registrierte die lokale Firewall die Aktivität nicht.
360° Intrusion Detection
Bei dem Vorfall handelte es sich um eine allgemeine Malware-Aktivität, die nicht auf die Störung des Betriebs von Umspannwerken zugeschnitten war. Er verdeutlicht jedoch die Anfälligkeit von ICS in Umspannwerken, wenn die Überwachung der Kommunikation nur auf die zentrale Leitwarte beschränkt ist - oder überhaupt nicht eingerichtet wurde. Das betroffene DSO konnte schnell auf die unerwünschte - und potenziell gefährliche - Kommunikation reagieren, weil es eine kontinuierliche ICS-Überwachung eingerichtet hat, die sowohl die Leitwarte als auch die Unterstationen abdeckt. Auf diese Weise können sie Querbewegungen und Spillover-Effekte direkt an der Quelle verhindern.
Die frühzeitige Erkennung von Angriffen erfordert ein umfassendes Verständnis des Geschehens innerhalb der gesamten ICS-Infrastruktur. Die Erkennung von Angriffen, Aufklärungen oder technischen Fehlerzuständen in der Leitwarte ist viele Schritte zu spät. Erfahren Sie, wie Rhebo DSO und TSO beim Aufbau eines 360° Intrusion Detection Systems unterstützt. Lesen Sie die Kurzbeschreibung der Lösung für Substation Level Monitoring.