Einsatz von IBM Security QRadar EDR zur Verfolgung eines raffinierten Angriffs auf die Lieferkette einer Wasserwirtschaftsanlage
Ein ausländischer Akteur, von dem eine Bedrohung ausgeht, hat es auf eine Wasserversorgungsanlage in Europa abgesehen, die für die Verteilung von Wasser an etwa eine Million Menschen verantwortlich ist. Die Einrichtung nimmt zunächst an, dass die neuen Aktivitäten legitim sind. Den Angreifern gelingt es, Server zu kompromittieren und auf Ransomware basierende Anti-Forensik-Maßnahmen einzusetzen.
Sicherheitstechnische Herausforderung
- Anfällige Lage, da es sich um eine kritische Infrastruktur handelt, die für die regionale Wasserversorgung zuständig ist
- Keine Erkennungs- und Threat-Hunting-Funktionalität für dateilose Bedrohungen und Lateralausbreitung
- Mangel an Schutz vor Ransomware
- Begrenzte Ressourcen für die Endpunktsicherheit
Kritische Infrastrukturstandorte müssen sich permanent anpassen, um der wachsenden Komplexität von Cyberrisiken und dem steigenden Risiko durch raffinierte Angreifer gewachsen zu sein. Aufgrund der Art der von ihr gesteuerten Ressourcen ist kritische Infrastruktur ein ideales Ziel für besonders wirkungsvolle Angriffe und die Exfiltration hoch sensibler Daten.
Über die herkömmlichen Netzwerk-Analysetools hinaus hatte die Wasserwirtschaftsanlage keinerlei Endpunkt-Monitoring eingerichtet und besaß keine Reaktionsmöglichkeiten im Falle eines Angriffs. Die Tools ermöglichten keine Verfolgung über Endpunkt-Operationen hinweg, wie etwa die Verfolgung einer Lateralausbreitung. Darüber hinaus beauftragte der Betreiber aufgrund eines generellen Mangels an IT-Ressourcen externe Anbieter für grundlegende Dienste wie E-Mail, DNS, VPNs und Firewalls. Dies machte die Koordination von Sicherheitsmaßnahmen durch die unterschiedlichen, voneinander unabhängigen Anbieter noch komplexer.
Sekunden
Das infizierte Netzwerksegment wurde in Sekundenschnelle gesäubert, wodurch Schäden vermieden wurden, die wichtige Services für die Bürger hätten blockieren können
2 Tage
Erfolgreiche Beendigung des Vorfalls innerhalb von 2 Tagen ohne Datenverlust, Unterbrechung wichtiger Services oder Schäden an Endpunkten
Der Angriff betraf ein Dutzend Geräte vor Einsatz der Ransomware und einige Tausend danach.
Lösungsübersicht:
- IBM® Security QRadar EDR verwendet NanoOS, das als für Angreifer nicht erkennbar konzipiert ist, und Nutzern eine außergewöhnlich hohe Transparenz über Endpunkte und Infrastruktur bietet
- Native Verfolgung von Lateralausbreitung und anomalen Anmeldeversuchen
- Nativer Schutz vor Ransomware-Angriffen
- Leistungsstarke Threat-Hunting-Schnittstelle zur Verfolgung und Rekonstruktion von hoch komplexen Vorfällen
Die Wasserwirtschaftsanlage setzte die IBM Security QRadar EDR-Software auf ihren Servern, Desktops und Laptops ein, um alle Assets permanent zu überwachen und potenzielle Sicherheitsverstöße umgehend zu verfolgen und zu untersuchen. Durch den Einsatz der in der Lösung integrierten dualen KI-Engines und der detaillierten Verhaltensanalyse erhielt der Kunde einen umfassenden Überblick über seine Infrastruktur. So können Abfragen an Endpunkte in Echtzeit gestellt sowie erweiterte Suchen sowohl nach Kompromittierungsindikatoren (IOCs) als auch nach Verhaltensindikatoren (IOBs) durchgeführt werden. Ebenso ist erweitertes Data-Mining zur Aufdeckung ruhender Bedrohungen möglich.
Sechs Monate nach der Bereitstellung erkannte der QRadar EDR-Agent erstmals anomale Vorgänge und verfolgte die Angreifer auf ihrem Weg, sich Zugang zu einem bestimmten Datensatz zu verschaffen. Die bisher vom Kunden verwendete Lösung, ein herkömmliches System zur Erkennung von Viren und Angriffen von außen (IDS), erkannte bis zur letzten Phase des Angriffs keinerlei Aktivitäten. Hätte der Kunde nicht QRadar EDR eingesetzt, wäre es den Angreifern gelungen, die Daten zu erfassen und auszulesen.
Angriff auf die Lieferkette
Am Tag des ersten Verstoßes meldete QRadar EDR eine verdächtige Anmeldung von einem VPN-Server an einen Endpunkt in einem Netzsegment mit normalen Nutzerrechten. Das Sicherheitsteam nahm an, dass die Anmeldung aufgrund von Wartungsarbeiten durch einen externen Sicherheitsanbieter erfolgte und wies dem Vorfall daher eine geringe Priorität zu. Die Angreifer schleusten eine erste Malware ein, hauptsächlich zur Erkundung des Netzsegments auf der Suche nach direkten Pfaden zu jenem Teil des Netzwerks mit besonderen Nutzerrechten. Da sie keine solchen Pfade vorfanden, richteten die Angreifer eine zweite In-Memory-Malware zur Sammlung von Anmeldedaten ein, um diese in einer nachfolgenden Lateralausbreitung einzusetzen. Nach Erlangen diese Anmeldedaten machten sich die Angreifer den Domain-Controller und kurz darauf einen Datenserver zum Ziel, auf dem interne Dokumente abgelegt waren.
Ursachenanalyse
Die erste anomale Anmeldung fand außerhalb der Schichtstunden statt – von einem Endpunkt, der normalerweise mit Servern interagiert, jedoch nicht mit Workstations. Der VPN-Kanal wurde von einem externen Anbieter verwaltet, der auch die Wartung des Mail-Servers, der Firewalls sowie des VPNs selbst verantwortete. Aufgrund der Art des Zugriffs blieb der Alert aktiviert, um alle Vorgänge zu verfolgen, doch an diesem Punkt wies das interne Sicherheitsteam dem Ereignis eine geringe Priorität zu, in der Annahme, dass der Anbieter eine Wartungsmaßnahme an der Infrastruktur durchführte.
Am folgenden Tag meldete QRadar EDR einen zweiten Alert, der die Aktivitäten einer leichtgewichtigen Malware zur Erkundung des internen Netzes anzeigte. Kurz darauf folgte ein weiterer Alert, der auf die Anwesenheit eines In-Memory-Vektors zum Keylogging und zur Sammlung von Anmeldedaten hinwies. An diesem Punkt konzentrierte sich das Sicherheitsteam auf diese Ereignisse und leitete eine Suche nach Cyberbedrohungen ein. Unterdessen gelang den Angreifern durch eine Reihe von Lateralausbreitungen schließlich der Zugriff auf einen der Domain-Controller. Das Team entschied, die Unsichtbarkeit der NanoOS Technologie zu nutzen, um die Angreifer so lange wie möglich zu verfolgen und so ihren Modus Operandi und ihre Ziele nachzuvollziehen.
Als die Angreifer den Datenserver samt den vertraulichen Informationen erreichten, entschied das Team, sie zu stoppen und den Plan zu ihrer Beseitigung einzuleiten. Während die verschiedenen Geräte bereinigt wurden, erkannten die Angreifer, dass sie trotz der hohen Zugriffsebene nicht auf die gesuchten Informationen zugreifen konnten. In dem Bewusstsein, dass sie entdeckt worden waren, setzten sie eine Ransomware auf der gesamten Infrastruktur ein, um ihre Spuren zu verwischen.
Der Angriff und die Rekonstruktion
Nachdem die Beweggründe für den Angriff klar waren, musste der Betreiber den gesamten Angriff verstehen, um entsprechende Schwachstellen in der Infrastruktur zu beheben. Der Angriff betraf ein Dutzend Geräte vor Einsatz der Ransomware (Phase 1) und einige Tausend danach (Phase 2).
Die Angreifer konnten sich Zugang zum VPN und dem Provider des Mail-Servers verschaffen und nutzten diese als ersten Eingangspunkt in das interne Netzwerk. Die Angreifer verwendeten die Anmeldedaten des Anbieters, um in verschiedene Geräte zu gelangen und entschieden sich dann für eine bestimmte Workstation. An diesem Punkt setzten sie verschiedene Tools ein, um das interne Netzwerk zu erkunden und Ziele für Lateralausbreitungen zu identifizieren. In der letzten Phase verwendeten sie den Domain-Controller selbst, um Ransomware auf alle Geräte zu verteilen.
Der Kunde automatisierte den Bereinigungsprozess mit dem Korrekturmodul von QRadar EDR und nutzte den Anti-Ransomware-Schutz zur Verhinderung von Datenverlusten und Betriebsunterbrechungen.
Die Wasserversorgungsanlage sicherte den VPN-Zugang und begab sich auf die Suche nach Cyberbedrohungen, bei der alle Rechner identifiziert wurden, auf welche die Angreifer Zugriff hatten. Das QRadar EDR Korrekturmodul automatisierte den Säuberungsprozess, wodurch das betroffene Segment innerhalb von Sekunden gesäubert werden konnte. Die Einrichtung erlangte alle Werkzeuge, die während der Phase der Aufklärung und der Lateralausbreitung verwendet wurden, und verbreitete sofort eine Richtlinie einschließlich Indicators of Compromise (IOC) und Verhaltensweisen für die gesamte Infrastruktur. Nach der Bereitstellung der Richtlinie wurden keine weiteren beschädigten Hosts mehr identifiziert. Die Anmeldedaten aller User wurden umgehend zurückgesetzt. Der Ransomware-Angriff erforderte darüber hinaus keine weiteren Maßnahmen, da der Kunde für alle Geräte den Anti-Ransomware-Schutz von QRadar EDR aktivierte, was den Verlust wichtiger Daten und die Störung normaler Aktivitäten verhinderte.
Die Einrichtung konnte den Vorfall am zweiten Tag erfolgreich abschließen, ohne dass es zu Datenverlusten, Unterbrechungen wichtiger Services oder Schäden an den Endgeräten kam.
Hätte die Einrichtung nicht QRadar EDR eingesetzt, hätten die Angreifer mit Sicherheit vertrauliche Informationen ausgelesen und wären möglicherweise über einen längeren Zeitraum aktiv geblieben. Und schließlich wäre die gesamte Infrastruktur durch den letzten Ransomware-Angriff lahmgelegt worden. Solch ein Angriff hätte enorme Auswirkungen auf den Betrieb der Anlage gehabt, die Teile der Grundversorgung für die Bürger der Region bereitstellt. Diese Versorgung wäre potenziell vollständig zusammengebrochen. Aufgrund der Schwierigkeit bei der Erkennung von Lieferkettenangriffen hätte die Anlage über denselben Kanal angegriffen werden können, wenn keine forensischen Informationen zur genauen Bestimmung der Ursache des Verstoßes verfügbar gewesen wären.
Rechtshinweise
© Copyright IBM Corporation 2023. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Hergestellt in den Vereinigten Staaten von Amerika, Juni 2023
IBM, das IBM Logo, IBM Security und QRadar sind Marken oder eingetragene Marken der International Business Machines Corporation in den Vereinigten Staaten und/oder anderen Ländern. Weitere Produkt- und Servicenamen sind möglicherweise Marken von IBM oder anderen Unternehmen. Eine aktuelle Liste der Marken von IBM finden Sie unter ibm.com/trademark.
Das vorliegende Dokument ist ab dem Datum der Erstveröffentlichung aktuell und kann jederzeit von IBM geändert werden. Nicht alle Angebote sind in allen Ländern verfügbar, in denen IBM tätig ist.
Alle angeführten oder beschriebenen Beispiele illustrieren lediglich, wie einige Kunden IBM Produkte verwendet haben und welche Ergebnisse sie dabei erzielt haben. Die tatsächlichen Umgebungskosten und Leistungsmerkmale variieren in Abhängigkeit von den Konfigurationen und Bedingungen des jeweiligen Kunden. Es können keine generell zu erwartenden Ergebnisse bereitgestellt werden, da die Ergebnisse jedes Kunden allein von seinen Systemen und bestellten Services abhängt. DIE INFORMATIONEN IN DIESEM DOKUMENT WERDEN OHNE JEGLICHE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE ZUR VERFÜGUNG GESTELLT, EINSCHLIESSLICH DER GARANTIE DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER GARANTIE ODER BEDINGUNG DER NICHTVERLETZUNG VON RECHTEN. Die Garantie für Produkte von IBM richtet sich nach den Geschäftsbedingungen der Vereinbarungen, unter denen sie bereitgestellt werden.
Erklärung zu bewährten Sicherheitsverfahren: Kein IT-System oder -Produkt sollte als vollkommen sicher angesehen werden, und kein einzelnes Produkt, kein Service und keine Sicherheitsmaßnahme kann eine missbräuchliche Nutzung oder einen missbräuchlichen Zugriff vollständig verhindern. IBM übernimmt keine Gewähr dafür, dass Systeme, Produkte oder Services vor böswilligem oder rechtswidrigem Verhalten von Dritten geschützt sind oder Ihr Unternehmen davor schützen.