Cyberangriffe legen Gebäudeautomationssysteme lahm

Ein Ingenieurbüro zum Besten von Gebäudeautomation erlebte ein Albtraumszenario: Es verlor plötzlich den Kontakt zu Hunderten seiner Gebäudeautomationssysteme (BAS) – Lichtschalter, Bewegungsmelder, Rollladensteuerungen und andere – nachdem ein seltener Cyberangriff dies Unternehmen aus dem BAS ausgesperrt hatte it zum Besten von verknüpfen Kunden eines Bürogebäudes errichtet hatte.

Dasjenige in Deutschland ansässige Unternehmen stellte wacker, dass drei Viertel jener BAS-Geräte im Systemnetzwerk des Bürogebäudes uff mysteriöse Weise von ihren “Smarts” befreit und mit dem systemeigenen digitalen Sicherheitsschlüssel nicht zugreifbar worden waren, jener nun unter jener Prüfung jener Angreifer stand . Um die Helligkeit im Gebäude einzuschalten, musste dies Unternehmen uff dies manuelle Ein- und Beseitigen jener zentralen Leistungsschalter zurückgreifen.

Die BAS-Geräte, die Helligkeit und andere Funktionen im Bürogebäude steuern und dienen, wurden von den Angreifern quasi gemauert. “Was auch immer wurde fern … komplett gelöscht, ohne zusätzliche Funktionsumfang” zum Besten von den BAS-Fabrikationsstätte im Gebäude, erklärt Thomas Brandstetter, Mitgründer und Geschäftsführer von Limes Security, dessen Sicherheitsfirma zum Besten von industrielle Leitsysteme im zehnter Monat des Jahres vom Engineering kontaktiert wurde nachdem dem Überfall wacker.

Brandstetters Team um die Sicherheitsexperten Peter Panholzer und Felix Eberstaller holte schließlich den gekaperten BCU-Schlüssel (Bus Coupling Unit) aus dem Speicher eines gemauerten Gerätes des Opfers, brauchte jedoch wenige kreative Hacker. Dasjenige Ingenieurbüro war dann in jener Position, die BAS-Geräte neu zu programmieren und die Helligkeit, Fensterläden, Bewegungsmelder und andere Systeme des Gebäudes wieder in Fabrikationsstätte zu nehmen.

Gewiss jener Überfall war keine Anomalie. Limes Security hat seitdem Berichte zusätzlich ähnliche Angriffe uff BAS-Systeme erhalten, die uff KNX laufen, einer in Europa weit verbreiteten Gebäudeautomatisierungs-Systemtechnologie. Erst letzte Woche wurde Limes Security von einem anderen Ingenieurbüro in Europa kontaktiert, dies verknüpfen unheimlich ähnlichen Überfall wie dies deutsche Unternehmen erlitten hatte – uff ein KNX BAS-System, dies es ebenfalls sperrte.

“Welches interessant war … nach sich ziehen die Angreifer hier irgendetwas missbraucht, welches ein Sicherheitsmerkmal sein sollte, ein Programmierpasswort? [the BCU key] dies würde verknüpfen Gegner davon aufführen, die Komponenten zu verheimlichen”, sagt Panholzer.

“Zum Glücksgefühl zum Besten von uns und die [BAS] Im Kontext allen Vorfällen, an denen wir bisher beteiligt waren, setzten die Angreifer in den jeweiligen BAS-Netzwerken jener Todesopfer im Rahmen jedem jener von uns verwickelten Vorfälle dies gleiche Passwort”, sagt Panholzer. “Theoretisch könnte es zum Besten von jede Komponente ein anderes Passwort schenken.” , und dies würde die Genesung tatsächlich viel, viel schwieriger zeugen.”

KNX seinerseits warnt in seinen Produkt-Support-Informationen, dass die Sicherheitsfunktion des BCU-Schlüssels zum Besten von die Engineering-Tool-Software (ETS) sorgfältig eingesetzt werden sollte: “Welche Vorkaufsrecht mit Vorsicht verwenden; im Rahmen Verlust des Passworts sind solche Geräte an die Vergessener BCU-Schlüssel in den Geräten kann nicht von draußen geändert oder zurückgesetzt werden, da dies den Sicherheit in jener ETS irrelevant zeugen würde (die Hersteller wissen natürlich, wie dies geht)”, sagt jener Hersteller jener KNX Association uff seiner Support-Seite.

Gewiss realiter sind die meisten Hersteller dieser Geräte nicht in jener Position, gestohlene BCU-Schlüssel wiederzubekommen, stellt Panholzer wacker. Dasjenige deutsche Ingenieurbüro bat zunächst seine BAS-Geräteverkäufer um Hilfe, handkehrum die Verkäufer teilten dem Unternehmen mit, dass sie nicht in jener Position seien, uff die Schlüssel zuzugreifen.

Es habe selbst andere indirekte Berichte zusätzlich ähnliche Angriffe uff KNX-basierte Systeme gegeben, sagt er. “Es sieht so aus eine Spezies Angriffswelle zu schenken. Wir wissen jedoch nicht genau, wie” sie verbreitet ist, sagt er.

„Es ist offensichtlich, dass es ex nihilo kam: Plötzlich passierten viele Angriffe, von denen wir wissen“, sagt Panholzer, jener den Kernpunkt – den dies Unternehmen KNXlock nennt – im nächsten Monat uff jener S4x22 ICS-Sicherheitskonferenz vorstellen will in Miami. Limes Security lehnte es aus Vertraulichkeitsgründen ab, die Opferorganisationen zu identifizieren, die von den Angriffen betroffen waren.

Bisher gibt es keine Hinweise uff die Angreifer. BAS-Systeme sind nicht mit Logging-Funktionen ausgestattet, sodass die Angreifer per se keine digitalen Fußabdrücke vermachen. Ihre Angriffe hinterließen keine Lösegeldforderungen oder Anzeiger von Ransomware, von dort ist nicht einmal dies Finale jener Angriffe unklar.

“Meine Theorie hier ist, dass es unter Umständen eine einzelne oder wenige Quellen zum Besten von Angreifer gibt, handkehrum wir wissen es nicht genau”, sagt Panholzer.

Die Forscher von Limes Security nach sich ziehen unterdessen ein Honeypot-System mit Möbeln ausgestattet, um zu sehen, ob sie die Angreifer dazu verleiten können, ihre gefälschten BAS zu verfolgen, um Informationen zusätzlich den Ursprung jener Angriffe zu vereinen. Bisher hat jedoch niemand den Köder geschluckt.

Dasjenige intelligente Gebäudesystem ist ein oft vergessener Angriffsvektor, jener die Welt jener physischen Sicherheit und jener Cybersicherheit extravagant. Gebäude-Hacks waren bisher selten, wenige bemerkenswerte machten solange bis heute Schlagzeilen: Ein Ransomware-Überfall uff ein Hotel in Ostmark aus dem Jahr 2016, jener Zimmerschlösser traf, und ein verteilter Denial-of-Tafelgeschirr-Überfall uff Heizungsanlagen in zwei Mehrfamilienhäusern in Suomi im Jahr 2016.

Brandstetter von Limes Security untersucht seitdem einigen Jahren BAS-Schwachstellen. 2017 präsentierte er im Rahmen Black Hat USA Wissenschaft zum Schnetzeln von BAS-Systemen. Er demonstrierte Szenarien, wie KNX und BACnet, ein weiterer beliebter BAS-Technologiestandard, jener in den USA weit verbreitet ist, von Angreifern missbraucht werden könnten.

Im Jahr 2018 schrieben Elisa Costante von Forescout und ihr Team Test-Schadsoftware, einschließlich eines Wurms, mit deren Hilfe sie Software-Schwachstellen in rund 11.000 BAS-Geräten zu erkennen geben konnten, darunter Protokoll-Gateways und speicherprogrammierbare Steuerungen zum Besten von HLK-Systeme und Zutrittskontrolle. Ihre Wissenschaft präsentierten sie 2019 uff jener S4x19.

Wie jener Smart Building Hack passiert ist
Dasjenige BAS-System des deutschen Ingenieurbüros wurde zunächst zusätzlich verknüpfen ungesicherten UDP-Port infiltriert, jener im öffentlichen Netz ungeschützt gelassen wurde. Von dort aus „freisprechen“ die Angreifer – von denen dies Limes-Team glaubt, dass sie sich mit jener KNX-Baustil auskennen – die BAS-Geräte oder löschten sie im Grunde ihrer Funktionsumfang und setzten sie dann mit dem BCU-Schlüssel wacker, den sie mit einem eigenen Passwort sperrten.

Dieser BCU-Schlüssel im KNX dient dazu, ungewollte Änderungen an einem Gerät zu verhindern: Um eine Dynamik vorzunehmen, benötigen Sie dies Passwort des Geräts. Dasjenige Limes-Team bat dies Ingenieurbüro, ihnen wenige ihrer BAS-Geräte zu schicken, damit sie herausfinden konnten, wie die Schlüssel wiederhergestellt werden können. Sie kamen zu dem Schluss, dass Brute-Force-Hacking zusätzlich ein Jahr dauern würde, da die Reaktionszeiten jener Authentifizierung im Rahmen den Geräten so langsam sind.

„Dieser BCU-Schlüssel ist wirklich nur ein 4-Byte-Zeichenfolge und acht Zeichen“, erklärt Panholzer. “Man könnte meinen, 4 Bytes wären leichtgewichtig durch Brute-Force zu erzwingen, handkehrum die Geräte Paroli bieten sehr langsam”, sagt er.

Sie entwickelten verknüpfen Plan, um zu versuchen, aus dem CPU-Speicher von Geräten zu Vorlesung halten, die keinen Sicherheit zum Besten von ihre CPUs mit Möbeln ausgestattet hatten. Um ihre Suche einzugrenzen, konzentrierten sie sich uff Bereiche im Speicher, in denen jener Schlüssel wahrscheinlich gespeichert sein würde, und erzwungenen solche zum Besten von dies Passwort. Sie programmierten im Grunde drei verschiedene Bilder des Gerätespeichers, damit sie feststellen konnten, wo die Postanschrift gespeichert war.

“Wir könnten [then] Begrenzen Sie den vermuteten Einflussbereich uff verknüpfen kleineren Stoß von Bytes und füttern Sie solche mit dem Brute-Force-Tool”, erklärt er.

Die von Limes Security-Forschern verwendeten Tools, um den gehackten BCU-Schlüssel von den gehackten BAS-Geräten wiederherzustellen.

Quelle: Limes Security

Fünfundvierzig Minuten später gruben sie den BCU-Schlüssel aus. Es stimmte zum Besten von jeglicher vier Geräte – von verschiedenen Anbietern – überein, die sie in jener Hand hatten, sodass sie zuversichtlich waren, dass es uff allen Geräten gehen würde. Dasjenige Ingenieurbüro tippte den BCU-Schlüssel in seine Programmiersoftware ein und brachte dies BAS-System intrinsisch von 30 Minuten wieder zum Laufen, nachdem es mehrere Wochen weit die Helligkeit und andere automatisierte Dienste im Gebäude manuell steuern musste.

Sicherheitslücke
Dasjenige zugrunde liegende Themenkreis dieser jüngsten Angriffe unterstreichen: Viele jener Fachleute, die BAS-Systeme wie KNX installieren und verwalten, in Besitz sein von nicht zu IT- oder Sicherheitsteams. Vielmehr sind BAS-Systeme typischerweise die Fachrichtung von Ingenieuren und Gebäudemanagementfirmen. IT- und Sicherheitsteams überschneiden sich selten mit dem Fabrikationsstätte von BAS, und dies kann problematisch sein.

Denken Sie an dies europäische Gebäudemanagementunternehmen, dies sich letzte Woche mit Limes Security in Verpflichtung gesetzt hat. Die Todesopfer in Betracht kommen davon aus, dass die Angreifer zusätzlich ein in jener Bauphase des Gebäudes temporär installiertes IP-Gateway eingedrungen sind. Dasjenige IP-Gateway “sollte nachdem Einlieferung des Gebäudes fern werden”, stellt Panholzer wacker. “Gewiss es wurde vergessen und nie deaktiviert.”

Dieser in Hauptstadt von Belgien ansässige BAS-Versorger KNX bietet spezifische Sicherheitsempfehlungen zum Besten von Unternehmen, die seine Software- und Netzwerkstandards einsetzen. In Verbindung stehen die Verwendung eines VPN zum Besten von jeglicher internetbasierten Verbindungen zum System, die Unterteilung seines KNX IP-Backbone-Netzwerks von anderen IP-Netzwerken zusätzlich VLANs und dies Positionieren einer Firewall zwischen dem KNX IP-Netzwerk und anderen Netzwerken.

„Wir nach sich ziehen gute Dokumentationen und Empfehlungen“ von KNX zur richtigen Sicherung von BAS-Systemen gefunden, sagt Panholzer. “Sie versuchen, viel Sicherheitsbewusstsein in ihr Werkstoff aufzunehmen.”

KNX hatte zum Zeitpunkt dieses Postings noch nicht uff eine Ansuchen von Dark Reading geantwortet.

Dasjenige Auffinden exponierter BAS-Systeme ist so leicht wie ein Shodan-Scan, bemerkt Stephen Cobb, ein unabhängiger Risikoforscher. Hinauf solche Weise zielen die Angreifer wahrscheinlich uff verwundbare Gebäudesysteme.

Obwohl BAS-Angriffe bisher relativ selten seien, könnten sie zum Besten von Cyberkriminelle lukrativ sein, stellt er wacker. „Dies könnte ein zukünftiger Einflussbereich jener kriminellen Ausbeutung sein, jener sehr humorlos ist. Es hat jeglicher Zutaten, um wie Ransomware zu sein“, sagt Cobb, früher im Rahmen ESET. “Ungesicherte Stücke da im Freien können gefunden und ausgenutzt werden.”

Ransomware- und Erpressungsangriffe uff ein BAS könnten genutzt werden, um Facility-Management-Unternehmen oder, noch schlimmer, Krankenhäuser ins Visier zu nehmen, sagt er. Trotzdem gibt es heute einfachere Methoden jener Erpressung: “Ungesichertes RDP und Phishing liefern ohne Rest durch zwei teilbar genug Ziele”, um die dominanten Angriffsvektoren zu bleiben, bemerkt er.