Die CISA hat Anfang Dezember ein Advisory veröffentlicht, indem verschiedene Behörden wie das BSI zusammen vor aktuellen Angriffen auf KRITIS warnen. Pro-russische Hacktivisten führen derzeit Angriffe mit geringer Wirkung auf KRITIS aus. Sie nutzen minimal gesicherte, direkt über das Internet verbundene VNC-Verbindungen (Virtual Network Computing), um in OT-Steuerungsgeräte innerhalb KRITIS einzudringen oder sich Zugang zu ihnen zu verschaffen. Diese Gruppen umfassen Mitglieder der Cyber Army of Russia Reborn (CARR), Z-Pentest, NoName057(16), Sector16 und andere. Sie nutzen die weit verbreitete Verfügbarkeit von einfach zugänglichen Systemen, die VNC aktiviert haben, um Angriffe auf KRITIS durchzuführen. Die wiederum können mit unterschiedlich starken Folgen, bis hin zu physischen Schäden, verbunden sein. Zu den Zielsektoren gehören Wasserwirtschaft, Lebensmittel und Landwirtschaft sowie Energie. Angesichts dieser Bedrohungslage sollten KRITIS-Betreiber die Empfehlungen im Abschnitt Mitigations umsetzen.
Die Empfehlung wird als Ergänzung zum gemeinsamen Informationsblatt der Cybersecurity and Infrastructure Security Agency (CISA) vom 6. Mai 2025 mit dem Titel Primary Mitigations to Reduce Cyber Threats to Operational Technology zur Operation Eastwood des European Cybercrime Centre (EC3) veröffentlicht. Im Rahmen dieser Operation hatten die CISA, das Federal Bureau of Investigation (FBI), das Energieministerium (DOE), die Umweltschutzbehörde (EPA) und die EC3 Informationen über Cybervorfälle ausgetauscht, die sich auf die Betriebstechnologie (OT) und die industrielle Automatisierung (IIA) in den USA und weltweit auswirkten.
Thomas Boele, Regional Director Sales Engineering CER/DACH bei Check Point kommentiert: „Aus Sicht von KRITIS-Betreibern ist diese erweiterte Empfehlung der CISA und der anderen Behörden wie dem BSI ein klarer Aufruf, sich auf die Grundlagen zum Schutz von OT-Perimetern zu konzentrieren. Pro-russische Hacktivisten-Gruppen verlassen sich nicht auf maßgeschneiderte Malware oder fundiertes technisches Fachwissen. Sie nutzen exponierte Fernwartungsdienste , wie VNC, schwache Passwörter und fehlende rsp. laxe Maßnahmen zur Gewährleistung der Netzwerksicherheit, um direkt in die Netzwerkumgebungen einzudringen. Betreiber müssen wissen, welche Geräte exponiert sind, unnötige Internetzugänge entfernen, starke und individuelle Benutzerkennungen durchsetzen und Kontrollnetzwerke segmentieren.“
Angreifer nutzen keine neuartigen Exploits, sondern machen sich Bedingungen zunutze, die in dem Bericht (Threats to the Homeland: Cyber Operations Targeting US Government and Critical Infrastructure) bereits als systemische Schwachstellen in der Wasser-, Lebensmittel- und Energieinfrastruktur aufgezeigt wurden. Der Bericht hebt auch die propagandistische Dimension dieser Operationen hervor. Die Gruppen übertreiben regelmäßig das Ausmaß und die Auswirkungen ihrer Angriffe, aber die Screenshots und Videos zeigen auf, dass die Betreiber reagieren müssen.
Check Point hat in diesem Blog-Beitrag bereits aufgezeigt, dass diese Kombination aus geringer Komplexität und hoher Sichtbarkeit an sich schon eine Form von Druck, insbesondere für Sektoren darstellt, die bereits durch veraltete OT und begrenzte Ressourcen belastet sind.
#CheckPoint
