DomainTools: Iran, Russland und China nehmen Wassersysteme als strategische Angriffspunkte ins Visier

Zusammenfassung

Wasserversorgung und Abwasserinfrastruktur bleiben ein Ziel staatlich unterstützter Cyberangriffe. Zu diesem Schluss kommt der Threat-Intelligence-Anbieter DomainTools in einer am 25. Juni veröffentlichten Analyse, die Angriffe auf Wassersysteme seit 2024 untersucht. Im Mittelpunkt steht nicht nur, dass diese Infrastruktur angegriffen wird, sondern auch, mit welchen Absichten. Die Forscher konzentrieren sich dabei auf Aktivitäten aus Iran, Russland und China. Während iranische Gruppen laut DomainTools vor allem opportunistisch und propagandistisch vorgehen, werden russlandnahe Akteure als eher sabotagelastig beschrieben. China wiederum soll vor allem auf langfristige Vorpositionierung setzen. Gemeinsam ist den Fällen, dass die Einstiegspunkte oft wenig komplex sind: exponierte speicherprogrammierbare Steuerungen, schwache oder voreingestellte Zugangsdaten, unsicherer Fernzugriff und schlecht geschützte Mensch-Maschine-Schnittstellen. DomainTools betont zudem, dass es nicht zwingend spezialisierte ICS-Malware braucht, um Risiken in Wasserinfrastrukturen zu erzeugen. Schon der Zugriff auf angrenzende Systeme wie Abrechnungsportale, Kundenportale, Identitätssysteme oder SCADA-nahe Server kann Angreifern nützliche Zugänge und Aufklärungsmöglichkeiten verschaffen.

DomainTools beschreibt Wasser- und Abwasserinfrastruktur als strategische Druckpunkte für staatliche und staatsnahe Akteure. Der Wert solcher Operationen liege „vor allem im psychologischen und politischen Bereich und nicht im kinetischen“. Schon kurzzeitige Störungen oder begrenzter Zugriff könnten überproportionale Reaktionen auslösen, weil Wasser unmittelbar mit öffentlicher Gesundheit, Vertrauen und staatlicher Handlungsfähigkeit verknüpft sei.

Für Iran nennt der Bericht Gruppen wie CyberAv3ngers und weitere mit den IRGC verbundene Akteure. Beobachtet wurden laut DomainTools Angriffe auf exponierte PLCs und Wassersteuerungssysteme unter anderem in den USA und Israel. Ein vereitelter Angriff auf israelische Systeme im Jahr 2020 hätte die Wasserversorgung während einer Hitzewelle stören können. Insgesamt bewerten die Forscher Irans Vorgehen jedoch als opportunistisch und propagandistisch. Für kleinere, direkt aus dem Internet erreichbare Versorger stuft DomainTools das Risiko durch iranische APTs als hoch ein, für reifere und segmentierte OT-Umgebungen als moderat.

Russlandnahe Akteure seien im Vergleich dazu eher bereit, Wassersteuerungssysteme direkt zu manipulieren. Als Beispiel nennt DomainTools den Angriff auf Muleshoe im US-Bundesstaat Texas im Januar 2024. Dabei hätten staatlich unterstützte Angreifer „auf eine industrielle Fernschnittstelle zugegriffen und dafür gesorgt, dass ein kommunaler Wassertank für etwa 30 bis 45 Minuten überlief“. Die Gruppe Cyber Army of Russia Reborn reklamierte den Vorfall für sich, und Mandiant brachte sie mit Sandworm in Verbindung, der destruktiven, mit dem russischen Militärgeheimdienst GRU assoziierten Cyber-Einheit. Insgesamt passe das Muster zu Moskaus breiterer hybrider Kampagne: kostengünstiger disruptiver Zugriff, Erzeugung öffentlicher Angst und das Austesten der Widerstandsfähigkeit westlicher Infrastruktur. Das Risiko wird für Europa und NATO-nahe Staaten als hoch beschrieben, für exponierte kommunale Wassersysteme in den USA als moderat bis hoch.

Bei China rückt DomainTools vor allem Volt Typhoon in den Fokus. CISA, NSA, FBI und weitere Behörden warnten im Februar 2024, dass Volt Typhoon kritische Infrastruktur in den USA kompromittiert habe, darunter Wasser- und Abwassersysteme. Die EPA warnte später im selben Jahr mehr als 60.000 Wasser- und Abwassersysteme vor der Bedrohung durch die APT-Gruppe. Anders als bei Russland und Iran sei das Ziel hier weniger unmittelbare Wirkung als vielmehr dauerhafter Zugang, Aufklärung und strategische Vorpositionierung für einen möglichen künftigen militärischen Konflikt. DomainTools bezeichnet die Bedrohung durch diese langfristige Aktivität als „schwerwiegend“, bei geringerem Risiko kurzfristiger Störungen.

Die anfänglichen Zugangswege ähneln sich laut der Analyse stark. Iran nutzte schwache Authentifizierung sowie exponierte PLCs und HMIs. Russland setzte auf kompromittierten Fernzugriff und schlecht gesicherte HMI-Schnittstellen. China zielte auf Zugangsdaten, kompromittierten Fernzugriff, unzureichend geschützte HMIs und verwundbare Edge-Geräte. Nach Angaben des polnischen Nachrichtendienstes drangen Hacker im vergangenen Jahr zudem in fünf Wasseraufbereitungsanlagen des Landes ein, hauptsächlich über schwache und voreingestellte Passwörter sowie über dem Internet ausgesetzte Steuerungssysteme.

DomainTools verweist außerdem auf weitere Angriffe über Abrechnungssysteme, Kundenportale und Server. In dem Forschungsblog heißt es, diese Vorfälle zeigten, dass staatliche Akteure keine maßgeschneiderte ICS-Malware benötigten, um Risiken zu erzeugen. Auch Abrechnungssysteme, Kundenportale, GIS-Repositorien, Lieferantenzugänge, Fernadministration, Identitätssysteme, Backups und SCADA-nahe Server könnten nützlichen Zugriff oder verwertbare Aufklärung liefern.

Daniel Schwalbe, Leiter Ermittlungen und CISO bei DomainTools, sagte Dark Reading, die Ergebnisse sollten CISOs auch außerhalb von Wassersystemen beschäftigen, weil viele der genannten Technologien wie HMIs und SCADA-Systeme in zahlreichen Umgebungen vorkämen. Organisationen sollten nach Schatten-IT-Problemen suchen und sicherstellen, dass Sicherheitsteams die Grundlagen prüfen und absichern. Für OT-Umgebungen reichten allgemeine Schutzmaßnahmen allein aber nicht aus. Schwalbe betont, dass klassische Kontrollen zwar einfache Angriffsflächen beseitigen und Kosten für Angreifer erhöhen, die Erkennung in OT-Umgebungen jedoch spezielles Verständnis der Betriebslandschaft sowie entsprechende Protokollierung, Analyse und Fachkräfte erfordere.

DomainTools: Iran, Russland und China nehmen Wassersysteme als strategische Angriffspunkte ins Visier

Ähnliche Artikel

Neueste Artikel