SchwachstellenHackerangriffeIoT-Sicherheit

Iranische Hacker greifen US-Infrastruktur an: Deutsche Unternehmen sollten Sicherheitsmaßnahmen prüfen

Iranische Hacker greifen US-Infrastruktur an: Deutsche Unternehmen sollten Sicherheitsmaßnahmen prüfen
Zusammenfassung

Der Iran führt gezielte Cyberangriffe auf kritische US-Infrastruktur durch, wie US-Behörden diese Woche warnten. Iran-nahe Bedrohungsakteure, möglicherweise dem iranischen Geheimdienst zugeordnet, haben seit letztem Monat eine Kampagne gegen internetexponierte Steuerungsgeräte – insbesondere programmierbare Logikcontroller (PLCs) von Rockwell Automation – gestartet. Betroffen sind Energie-, Wasser- und Abwassersysteme sowie Regierungseinrichtungen. Die Angreifer haben bereits erfolgreich Störungen verursacht, indem sie PLC-Dateien manipulierten und Kontrollsysteme sabotierten, was zu Betriebsausfällen und finanziellen Verlusten führte. Während diese Anschläge derzeit primär die USA treffen, haben deutsche Kritische Infrastrukturen ähnliche Anforderungen und Verwundbarkeiten. Deutsche Energie-, Wasser- und Behördensysteme nutzen vergleichbare Steuerungstechnologie oft ebenfalls mit Internetanbindung – ein fundamentales Sicherheitsrisiko. Cybersicherheitsexperten warnen, dass solche Angriffsmethoden einfach auf andere Länder übertragbar sind. Für deutsche Betreiber kritischer Infrastruktur und Unternehmen mit OT-Systemen ist dies ein Alarmsignal: Die identifizierten Schwachstellen und Angriffstechniken könnten bald auch hiesige Systeme gefährden, weshalb sofortige Schutzmaßnahmen dringend erforderlich sind.

Die US-amerikanische Cybersicherheits- und Infrastrukturschutzbehörde CISA hat gemeinsam mit dem FBI, der NSA, der Umweltschutzbehörde EPA, dem Energieministerium DOE und dem US Cyber Command am Dienstag vor einer konzentierten Angriffskampagne gegen kritische Infrastruktur gewarnt. Die Kampagne wird iranischen, dem Revolutionsgardencorps (IRGC) nahestehenden Akteuren zugeordnet.

Nach Angaben der Behörden zielten die Angreifer auf exponierte Rockwell-Automation-Steuerungen ab, insbesondere auf die Modelle CompactLogix und Micro850. Die Hacker nutzten geleaste Infrastruktur von Drittanbietern und setzten spezielle Konfigurationssoftware wie Rockwell Automations Studio 5000 Logix Designer ein, um sich Zugang zu den Geräten zu verschaffen. Sie richteten ihre Attacken auf mehrere Ports – darunter 44818, 2222, 102, 22 und 502 – und fanden damit Zugang zu verschiedenen Systemen in den Bereichen Energie, Wasser und staatliche Einrichtungen.

Besonders bemerkenswert: Die Angreifer installierten auf den kompromittierten Systemen Dropbear Secure Shell (SSH)-Software, um sich persistente Fernzugriffe durch Port 22 zu sichern. Dies deutet auf eine professionelle und längerfristig angelegte Angriffskampagne hin. Die Behörden dokumentierten bereits mehrere Fälle, in denen die Hacker Dateien in PLC-Projekten manipulierten oder Bedienoberflächen (HMI) und SCADA-Systeme sabotierten.

Die aktuelle Warnung erinnert an ähnliche Operationen der Gruppe CyberAv3ngers (auch als Shahid Kaveh Group bekannt), die bereits im November 2023 mindestens 75 US-amerikanische Unitronics-Steuerungsgeräte kompromittierte.

Für deutsche Unternehmen ist dies ein kritisches Signal. Viele Industrieanlagen, Energieversorger und Wasseraufbereitungsanlagen in Deutschland nutzen vergleichbare Systeme von Rockwell Automation und anderen Herstellern. Die Warnung zeigt: Wenn solche operationalen Technologien direkt dem Internet ausgesetzt sind, bieten sie Angreifern erhebliche Angriffsfläche.

Die US-Behörden empfehlen dringend, SPS-Geräte aus dem direkten Internetzugriff zu entfernen, Firewalls und sichere Gateways einzurichten und verdächtige Zugriffe auf den kritischen Ports zu überwachen. Unternehmen sollten ihre Logs auf die von CISA bereitgestellten Indikatoren durchsuchen und bei Verdacht auf Kompromittierung sofort reagieren. Für deutsche Kritische-Infrastruktur-Betreiber gilt: Die Zeit zur Überprüfung und Verbesserung ihrer OT-Sicherheit ist jetzt.

Ähnliche Artikel