Ein Cyberangriff auf ein regionales Wasserversorgungssystem in den USA wirft neue Fragen nach der Sicherheit der Kritischen Infrastruktur auf. Pro-iranische Hacker nutzten möglicherweise eine Schwachstelle in einer mit dem Internet verbundenen Steuerungskomponente für die Manipulation des Wasserdrucks. Anschließend hinterließen sie eine Monitorbotschaft, mit der sie den Angriff mit dem Einsatz israelischer IT-Komponenten im Versorgungssystem erklärten. Dabei drohten sie mit weiteren Cyber-Attacken auf die Internetzugänge von Versorgern, die Bauteile aus Israel verwenden.
Das Angriffsziel war nicht zufällig ausgewählt worden
Iran-freundliche Hacker drangen vorliegenden Informationen zufolge in eine Wasserversorgungsanlage des US-Versorgungsunternehmens Municipal Water Authority of Aliquippa (MWAA). Die MWAA versorgt rund 15.000 Menschen im Raum Pittsburgh mit Trinkwasser. Ausser einem Druckabfall im System seien keine weiteren Folgen des Angriffs registriert worden. Die kompromittierte Anlage wurde zur Steuerung des Wasserdrucks im Versorgungssystem eingesetzt. Auf diesen beschränkten sich die Folgen des Angriffs. Die Anlage war nicht mit dem Unternehmensnetzwerk verbunden gewesen. Andernfalls hätte sich womöglich eine dramatischere Konsequenz daraus ergeben.
Der Hacker-Ring erklärte, dass er auf kritische Infrastrukturen abzielt, die von israelischen Unternehmen hergestellten Komponenten einsetzt. Auf dem Monitor der gehackten Anlage hinterließen sie die Botschaft, dass die aus Israel stammenden IT-Komponenten jetzt quasi „Freiwild“ seien (siehe Beitragsfoto).
Die U.S. Cybersecurity and Infrastructure Security Agency (CISA), das FBI, die NSA und das Israel National Cyber Directorate identifizierten die Angreifer als eine Gruppe namens „CyberAv3ngers“.
“They did not get access to anything in our actual water treatment plant — or other parts of our system — other than a pump that regulates pressure to elevated areas of our system,”“This pump was on its own computer network, separated from our primary network, and is physically miles away.”
Matthew Mottes, Vorsitzender der Water Authority gegenüber dem Onlineportal BeaverCountian.com.
Die Sicherheitsbehörde CISA vermutet, dass die Gruppe wahrscheinlich den Zugriff erhielt, indem sie Sicherheitsschwachstellen wie unzureichende Passwörter ausnutzte. Gemäß CISA lautete das Passwort für das betroffene System „1111“. Diese vom Hersteller gewählte Voreinstellung war fahrlässigerweise nicht durch ein sicheres Passwort ersetzt worden.
Sicherheitsbehörden verkünden höchste Alarmstufe
US-Bundesbeamte untersuchen dem Bericht zufolge den Cyberangriff. Die Biden-Administration hat der Cyber-Sicherheit von Infrastrukturen möchte Priorität eingeräumt. So hat das Weiße Haus Anfang letzten Jahres eine konzertierte Aktion angekündigt, um solche Angriffe auf die Trinkwasserversorgung zu verhindern. Der jüngste Vorfall in Pennsylvania zeigt jedoch, dass die Bundesbehörden möglicherweise nicht genug tun, um die örtlichen Wasser- und Abwassersysteme zu schützen.
Trotz der Bemühungen der US-Behörden haben viele kleinere Wasserversorgungsunternehmen „nicht die Hilfe, die sie brauchen, zum Teil, weil sie nicht wissen, wohin sie sich wenden oder wen sie um Hilfe bitten können, vor allem, ohne viel Geld zu bezahlen„, sagte Jennifer Lynn Walker, die Leiterin der Cyberverteidigung für Infrastrukturen des Water Information Sharing and Analysis Center, gegenüber CNN.
Die CISA erklärte, dass die betroffenen Systeme nicht nur in Wasser- und Abwassersystemen, sondern auch in anderen Kritis-Bereichen, wie der Energie-, Lebensmittel- und Getränkeherstellung sowie im Gesundheitswesen eingesetzt werden.
Andere Staaten sind sensibilisiert für das Angriffsmuster
Der Angriff auf IT-Komponenten des israelischen Unternehmens hat auch Sicherheitsbehörden anderer Staaten aufgeschreckt, in denen die Komponenten verbaut sind. Das australische Cyber Security Center hat eine High-Status-Warnung für australische Organisationen herausgegeben, die israelische Komponenten verwenden. In Südafrika gab es Presseberichten zufolge Entwarnung. Dort seien die Systeme sicher. Mutmaßlich kann davon ausgegangen werden, dass die Verbindung zwischen Israel und USA für die Hacker, so denn die Story stimmt, für die Hacker einen besonderes Reiz bedeuteten, der zudem noch die höchste Aufmerksamkeit erzeugen dürfte. Mindestens die Sorglosigkeit oder Unwissenheit mancher Anwender.
Eine Online-Suche mit der Shodan-Plattform, auf der mit dem Internet verbundene System identifiziert werden können, zeigte mehr als 150 solche mit dem Internet verbundenen Komponenten des israelischen Herstellers in den USA und mehr als 1.500 weltweit.
Sorglosigkeit auch hierzulande
Ich habe wohlweißlich darauf verzichtet, das betreffende israelische Unternehmen namentlich zu benennen. Die (börsennotierte) Firma kann den verlinkten Quellen entnommen werden. Der Beitrag soll dazu dienen, hiesige Unternehmen zu sensibilisieren. Dabei geht es in erster Linie um die immer noch auftretende Sorglosigkeit beim Umgang mit Passwörtern und Sicherheitsarchitekturen von Systemen der kritischen Infrastruktur, die mit dem Internet verbunden sind.
Quellen
- Federal officials investigating after pro-Iran group allegedly hacked water authority in Pennsylvania; CNN, 28.11.2023
- Iranian-Linked Cyber Army Had Partial Control Of Aliquippa Water System, BeaverCountain.com
- South African water and sewage control systems potentially hit in global hack, Mybroadband.sa
- Iranian cyber attack targets Israeli tech used by several US bodies, Times of Israel
