Home » Blog » Cyber » First known hacker-caused power outage signals troubling escalation

 

First known hacker-caused power outage signals troubling escalation

 

Quelle: arstechnica.com (siehe auch Hackerangriff soll Stromausfall verursacht haben); Update 22.01.16, 26.01.16, 18.04.16

Highly destructive malware that infected at least three regional power authorities in Ukraine led to a power failure that left hundreds of thousands of homes without electricity last week, researchers said.

The malware led to “destructive events” that in turn caused the blackout. If confirmed it would be the first known instance of someone using malware to generate a power outage.

“It’s a milestone because we’ve definitely seen targeted destructive events against energy before—oil firms, for instance—but never the event which causes the blackout,” John Hultquist, head of iSIGHT’s cyber espionage intelligence practice, told Ars. “It’s the major scenario we’ve all been concerned about for so long.”

Researchers from antivirus provider ESET have confirmed that multiple Ukrainian power authorities were infected by “BlackEnergy,” a package discovered in 2007 that was updated two years ago to include a host of new functions, including the ability to render infected computers unbootable. More recently, ESET found, the malware was updated again to add a component dubbed KillDisk, which destroys critical parts of a computer hard drive and also appears to have functions that sabotage industrial control systems. The latest BlackEnergy also includes a backdoored secure shell (SSH) utility that gives attackers permanent access to infected computers.

Researchers from antivirus provider ESET:

Our analysis of the destructive KillDisk malware detected in several electricity distribution companies in Ukraine indicates that it is theoretically capable of shutting down critical systems. However, there is also another possible explanation. The BlackEnergy backdoor, as well as a recently discovered SSH backdoor, themselves provide attackers with remote access to infected systems. After having successfully infiltrated a critical system with either of these trojans, an attacker would, again theoretically, be perfectly capable of shutting it down. In such case, the planted KillDisk destructive trojan would act as a means of making recovery more difficult.

According to ESET, the Ukrainian power authorities were infected using booby-trapped macro functions embedded in Microsoft Office documents. If true, it’s distressing that industrial control systems used to supply power to millions of people could be infected using such a simple social-engineering ploy. It’s also concerning that malware is now being used to create power failures that can have life-and-death consequences for large numbers of people.

Update 22.01.15 – Wie Hacker der Ukraine den Strom abdrehten

Quelle: Der Standard

Anscheinend war es ihnen gelungen, die ausgelieferten Daten “einzufrieren”, sodass Operatoren die Ausfälle erst mit Verspätung bemerkten. Dazu sei es ihnen gelungen, aus der Ferne Schalter in Umspannwerken umzulegen, sodass Mitarbeiter dort hin fahren und das Problem vor Ort beheben mussten.

Die Call Center wurden scheinbar zeitgleich zum Beginn der Stromsabotage mit TDoS-Attacken, also telefonischen Denial-of-Service-Angriffen, eingedeckt. Im Klartext: Die Kundenhotline wurde mit einer enormen Zahl an Fake-Anrufen bombardiert, die es Betroffenen beinahe unmöglich machte, in die Leitung zu kommen.

Ein US-Experte namens Robert Lee sieht die verwendeten Mittel an sich als nicht sonderlich hochentwickelt an, zeigt sich aber beeindruckt von der zeitlichen Koordination des Angriffs.

Die Malware selbst sei aber nur als Zugangs- und Spähtool genutzt worden. Die Sabotage selbst sei den Hackern gelungen, weil sie offenbar die Kontrolle über die Rechner von Operatoren übernehmen konnten.

Angriffe wie diese sind laut Lee längst nicht die Spitze des Möglichen. Auch die physische Zerstörung von Equipment zur Energieerzeugung sei machbar. Das US-amerikanische Stromnetz sie gegen derlei Attacken zwar besser abgesichert, weil aber viele Systeme vollautomatisiert seien, würden Wiederherstellungsmaßnahmen aber deutlich länger dauern.

Update 26.01.16 – Bundesamt geht von Hackerangriff auf ukrainisches Stromnetz aus

Quelle: www.sueddeutsche.de

Ende Dezember waren Hunderttausende Menschen in der Ukraine stundenlang ohne Strom. Es passierte CNN zufolge in 103 Städten auf einen Schlag, weitere 186 waren teilweise betroffen. 27 Umspannwerke fielen aus. Die Stromversorger mussten Mitarbeiter quer durchs Land schicken, um betroffene Anlagen manuell wieder in Gang zu setzen. Mehrere IT-Sicherheitsexperten gehen mittlerweile davon aus, dass ein Cyberangriff den Stromausfall ausgelöst hat – und dass eine Hackergruppe aus Russland dahintersteckt. Diese Einschätzung teilen mehrere Sicherheitsfirmen aus den USA und der Ukraine sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn.

Wie der Angriff konkret abgelaufen ist, lässt sich noch nicht mit absoluter Sicherheit sagen.

Nach dem Angriff wurde eine Software namens “Killdisk” eingesetzt. Sie kann sowohl Spuren verwischen als auch die Prozesssteuerung in der Anlage manipulieren. Wird diese Steuerung verändert, sind die Betreiber der Anlage praktisch blind: Ihnen werden falsche Daten übermittelt, die sie in dem Glauben lassen, dass Strom geliefert wird. Der zweite Schritt – der konkrete Auslöser des Stromausfalls – ist noch unbekannt.

Timo Steffens bestätigt das. Er ist Sicherheitsanalyst beim BSI. Sandworm sei die einzige Gruppe, die “Black Energy” “für gezielte Angriffe einsetzt, die eher staatlich-nachrichtendienstliche als kriminelle Motive zu haben scheinen”.

Update 18.04.16 – Analysis of the Cyber Attack on the Ukrainian Power Grid – Defense Use Case

Quelle: sans.org

On December 23, 2015, the Ukrainian Kyivoblenergo, a regional electricity distribution company, reported service  outages to customers. The outages were due to a third party’s illegal entry into the company’s computer and  SCADA systems: Starting at approximately 3:35 p.m. local time, seven 110 kV and 23 35 kV substations were  disconnected for three hours. (…) were attacked, resulting in several outages that caused approximately 225,000 customers to lose power across various areas.

The cyber attacks in Ukraine are the first publicly acknowledged incidents to result in power outages.

These incidents should be rated on a macro scale as low in terms of power system impacts as the outage affected a very small number of overall power consumers in Ukraine and the duration was limited. In contrast, it is likely that the impacted companies rate these incidents as high or critical to the reliability of their systems and business operations.

However, the strongest capability  of the attackers was not in their choice of tools or in their expertise, but in their capability to perform long-term  reconnaissance operations required to learn the environment and execute a highly synchronized, multistage,  multisite attack.

The outages were caused by the use of the control systems and their software  through direct interaction by the adversary.

Implications for Defenders

The cyber  operation was highly synchronized and the adversary was willing to maliciously operate a SCADA system to cause power outages, followed by destructive attacks to disable SCADA and communications to the field. The destructive element is the first time the world has seen this type of attack against OT systems in a nation’s critical infrastructure. This is an escalation from past destructive attacks that impacted general-purpose computers and servers (e.g., Saudi Aramco, RasGas, Sands Casino, and Sony Pictures). Several lines were crossed in the conduct of these attacks as the targets can be described as solely civilian infrastructure. Historic attacks, such as Stuxnet, which included destruction of equipment in the OT environment, could be argued as being surgically targeted  against a military target.

The attacks highlight the need to develop active cyber defenses, capable and wellexercised incident response plans, and resilient operations plans to survive a sophisticated attack and restore the  system.

Nothing about the attack in Ukraine was inherently specific to Ukrainian infrastructure.

Information sharing is key in the identification of a coordinated attack and directing appropriate response actions.

Kommentar

Manchmal ist die Realität schneller als uns lieb sein kann. Noch scheinen die Informationen nicht ganz gesichert zu sein. Sollten sie stimmen, hätten wir eine neue Eskalationsstufe erreicht. Die entsprechenden Warnungen gibt es ja schon länger, die meist abgetan und verharmlost werden, wie etwa nach dem Vortrag 32C3 lecture: Wie man einen Blackout verursacht. Ja, es ist weiterhin nicht ganz einfach, ein Stromversorgungssystem durch Cyber-Angriffe lahm zu legen. Sollte es aber gelingen, könnte es sehr nachhaltig sein und eine Wiederherstellung der Infrastruktur wesentlich länger dauern, als das im Roman “Blackout – Morgen ist es zu spät” von Marc Elsberg dargestellt wurde.

Welche Rolle der Schadsoftwareangriff wirklich hatte, wird wohl nur mehr schwer feststellbar sein. In komplexen Systemen ist eine einfache Ursache-Wirkung nicht wirklich möglich. Die Gefahr geht in der Regel nicht von Einzelereignissen, sondern von der Kumulation verschiedener an und für sich beherrschbarer Ereignisse aus. Hätte es etwa 2013 bei der Leittechnikstörung in Österreich eine ähnlich angespannte Situation im Stromnetz gegeben, wie dies 2015 häufig der Fall war, dann wäre das wahrscheinlich nicht gut gegangen.

Bei Cyber-Angriffen besteht zudem die Erfahrung, dass sie gerne überdramatsiert und hochgespielt werden, um eigene Versäumnisse zu kaschieren. Nichtsdestotrotz geht von ihnen in hoch vernetzten Systemen (Infrastrukturen) aufgrund der Gefahr von Dominoeffekten eine sehr reale Gefahr aus.

Siehe weiters:

Update 22.0115

Die letzten Informationen deuten doch darauf hin, dass hier ein aufwendiger Angriff abgelaufen ist. Das parallele Lahmlegen der Call-Center ist ein neues Phänomen, das mir in dieser Form bisher noch nicht untergekommen ist. Wie bereits zuvor vermutet, war es nicht einen Einzelaktion (durch den Einsatz von Schadsoftware), sondern die Kombination aus verschiedenen Schritten.

Weitere aktuelle und dazu passende Meldungen:

Tags: , , , , , , , ,

 

No Comments

  1. […] Thema „Ukraine“ wurde bereits im Beitrag First known hacker-caused power outage signals troubling escalation analysiert. Das Problem bei diesen (Risiko-)Betrachtungen ist immer, dass diese so gut wie immer […]

  2. […] First known hacker-caused power outage signals troubling escalation […]

  3. […] First known hacker-caused power outage signals troubling escalation– Update zum Stromausfall II in der Ukraine. Offensichtlich wurde nicht nur die Strominfrastruktur angegriffen. […]

  4. […] Siehe auch unter First known hacker-caused power outage signals troubling escalation […]

  5. […] Zum Ukraine-Blackout siehe: First known hacker-caused power outage signals troubling escalation oder . […]

  6. […] bestätigt Experte Herbert Saurugg im „Krone“–Interview. Seit dem Angriff auf die Infrastruktur der Ukraine im Jahr 2015 laufen aber auch hierzulande die Schutzmaßnahmen an – […]

  7. […] nicht vorbereitet„, so Experte Herbert Saurugg im „Krone“–Interview. Seit dem Angriff auf die Infrastruktur der Ukraine im Jahr 2015 laufen aber auch hierzulande die Schutzmaßnahmen an – […]

  8. […] würden allerdings die Energieversorgung nicht ernsthaft gefährden. Die Cyber-Attacke auf das ukrainische Energienetz im Dezember 2015, die einen flächendeckenden Stromausfall auslöste, zeige jedoch, was in dieser Hinsicht […]

  9. […] die Ukrainische Stromversorgung. 2015 kam es dabei zum ersten Blackout durch einen Cyber-Angriff (First known hacker-caused power outage signals troubling escalation). Siehe auch die aktuelle Doku: Wir hacken Deutschland bzw. die österreichische […]

  10. […] auch First known hacker-caused power outage signals troubling escalation, Gefährliche Cyberwaffe schaltete Stromnetz von Kiew aus, Studie Digitaler Stillstand: Die […]

  11. […] der Rechnersysteme waren nach dem Hack in der Ukraine so stark beschädigt, dass es bis zu einem Jahr dauerte, bis die Anlage wieder automatisch […]

  12. […] für Störungen.”, “Manche der Rechnersysteme waren nach dem Hack in der Ukraine so stark beschädigt, dass es bis zu einem Jahr dauerte, bis die Anlage wieder automatisch […]

Post a Comment