Elementrica
03Fallstudien04Referenzen05Unternehmen06Aktuelles07Kontakt
PLENDE

FrostyGoop und der kalte Cyberkrieg: Wie Schadsoftware kritische Infrastruktur in Lwiw lahmlegte

ElementricaElementrica7 Min.
FrostyGoop und der kalte Cyberkrieg: Wie Schadsoftware kritische Infrastruktur in Lwiw lahmlegte

Im Januar 2024 legte ein Cyberangriff die Heizung in fast 600 Gebäuden in Lwiw für 48 Stunden lahm, bei Temperaturen um den Gefrierpunkt. Verantwortlich war eine Schadsoftware, die das Unternehmen Dragos FrostyGoop nannte und die Industriegeräte über das Modbus-Protokoll angriff. Es ist einer der wenigen öffentlich bestätigten Fälle, in denen ein Cyberangriff unmittelbar den Komfort und die Sicherheit der Bewohner traf. Wir erklären, wie das möglich war und was daraus für Betreiber von Infrastruktur folgt.

Was in Lwiw geschah

Dragos, ein auf die Sicherheit industrieller Systeme (ICS und OT) spezialisiertes Unternehmen, analysierte den Vorfall und identifizierte die Schadsoftware hinter dem Angriff; es gab ihr den Namen FrostyGoop. Der Angreifer griff nicht zu einem raffinierten Exploit, sondern zum gewöhnlichen Industrieprotokoll Modbus.

Das war kein Datenabfluss und keine blockierte E-Mail. Es war eine physische Folge eines Cyberangriffs: kalte Wohnungen mitten im Winter. Genau darin unterscheidet sich ein Angriff auf OT von einem typischen IT-Vorfall.

Modbus, ein Protokoll ohne Authentifizierung

Modbus ist eines der verbreitetsten Kommunikationsprotokolle in der Industrie, entwickelt 1979. Trotz seines Alters ist es noch überall im Einsatz, weil es einfach ist und selten ausfällt. Geräte praktisch aller großen Automatisierungshersteller unterstützen es.

HerstellerBeispielprodukt mit Modbus TCP/IP
ABBModbus-TCP/IP-Feldbusadapter für Antriebe
SiemensSPS-Steuerungen mit Modbus-TCP/IP-Unterstützung
Mitsubishi ElectricModbus-TCP/IP-Schnittstellenmodul
Schneider ElectricModbus-TCP/IP-Kommunikation für Geräte
Rockwell AutomationModbus-TCP-Kommunikation mit Logix-Steuerungen

Der Haken: Modbus entstand, bevor Netzwerksicherheit ein Thema wurde. In der TCP/IP-Variante gibt es weder Authentifizierung noch Autorisierung. Um einem Gerät einen Befehl zu schicken, genügt es, seine IP-Adresse, den Port (meist 502) und die Gerätekennung zu kennen.

Wie FrostyGoop funktioniert

FrostyGoop ist ein Windows-Programm in der Sprache Go, das öffentlich verfügbare Modbus-Bibliotheken nutzt. Es verhält sich wie ein gewöhnlicher Modbus-TCP/IP-Client: Es kann Register von Geräten auslesen und überschreiben.

Genau darin liegt seine Stärke. Register enthalten die Parameter, die den Betrieb von Industriegeräten steuern. Trägt ein Angreifer dort falsche Werte ein, verändert er das reale Verhalten der Hardware. Schlimmer noch: Der Verkehr von FrostyGoop sieht aus wie legitime Modbus-Kommunikation und lässt sich daher kaum vom normalen Systembetrieb unterscheiden.

Laut Dragos gelangten die Angreifer höchstwahrscheinlich über eine Lücke in einem Router in das Netz des Opfers und schickten anschließend schädliche Befehle direkt an die Steuerungen des Heizsystems der Marke ENCO. Zusätzlich stuften sie die Geräte aus der Ferne herab. Die Messwerte wurden dadurch ungenau, und die Betreiber verloren den Überblick.

Wie gefährlich diese Art von Angriff ist

Das größte Risiko betrifft Modbus-TCP/IP-Geräte, die direkt ins Internet gestellt sind. Da das Protokoll keine Authentifizierung verlangt, kann jeder, der sie erreicht, versuchen, die Registerwerte zu ändern.

Das Ausmaß ist real. Dragos schätzte, dass von rund 640.000 Geräten mit offenem Port 502 im Internet etwa 46.000 verwundbar sein könnten. Die zweite Risikostufe sind Geräte in internen Netzen: Ist ein Angreifer erst einmal drin, werden sie zum leichten Ziel.

Wie Sie Modbus- und OT-Geräte schützen

Eine Regel zählt am meisten: Industriegeräte sollten nicht direkt aus dem Internet erreichbar sein. Darüber hinaus lohnen sich weitere Schutzschichten, angelehnt an die Gegenmaßnahmen aus MITRE ATT&CK for ICS.

MaßnahmeWorum es geht
NetzsegmentierungTrennen Sie Modbus-Geräte vom Rest des Netzes, vor allem vom Internet, um die Ausbreitung eines Angriffs zu begrenzen.
Zugriffskontrolle und FirewallsBeschränken Sie die Kommunikation mit den Geräten auf vertrauenswürdige IP-Adressen.
Kontinuierliche ÜberwachungErkennen Sie ungewöhnliche Aktivität im Industrienetz mit IDS/IPS, die für OT ausgelegt sind.
Verschlüsselung des VerkehrsModbus verschlüsselt keine Daten, aber der Verkehr lässt sich über ein VPN tunneln.
Regelmäßige Audits und TestsSicherheitsaudits und Schwachstellenbewertungen von ICS/OT-Umgebungen, um die schwachen Stellen zu finden, bevor es ein Angreifer tut.

Was FrostyGoop lehrt

FrostyGoop hat gezeigt, dass ein Angriff auf OT keine Theorie ist. Ein einfaches Protokoll ohne Authentifizierung, ein ins Netz gestelltes Gerät und eine Router-Lücke reichten, um Hunderten von Gebäuden die Heizung abzudrehen.

Für Betreiber kritischer Infrastruktur ist die Lehre praktisch: OT-Sicherheit ist kein Zusatz zur IT, sondern die Voraussetzung für den laufenden Betrieb und die Sicherheit von Menschen.

Möchten Sie prüfen, ob Ihre Industriegeräte exponiert und für einen solchen Angriff anfällig sind? Vereinbaren Sie eine kostenlose Beratung. Wir ermitteln die Angriffsfläche Ihrer OT-Umgebung und zeigen Ihnen, was zuerst abzusichern ist.

Sind Ihre OT-Geräte ins Netz gestellt?

Vereinbaren Sie eine kostenlose Beratung, und wir prüfen, ob Ihre Industrieinfrastruktur für einen Angriff wie FrostyGoop anfällig ist.

Vorheriger
Eine kurze Einführung in die ICS- und OT-Sicherheit