Jena (pts019/02.12.2021/11:05) – Kritische und sensible Infrastrukturen müssen besonders stark vor Hackern geschützt werden. Eine Möglichkeit ist die Nutzung sogenannter „Air Gap“-Netzwerke. Diese kommen beispielsweise bei industriellen Kontrollsystemen zum Einsatz, die Pipelines und Stromnetze verwalten oder Wahl- oder SCADA-Systeme, die unter anderem nukleare Zentrifugen steuern. Diese Systeme sind nicht direkt mit dem Internet verbunden. Diese völlige Isolation eines Gerätes oder Systems vom Internet und anderen Netzwerken soll für maximale Sicherheit sorgen. ESET-Forscher zeigen anhand von 17 Schadprogrammen, wie APT-Gruppen (Advanced Persistent Threats) dennoch zum Erfolg kommen könnten. Ihre Analyse haben die ESET-Experten auf WeLiveSecurity veröffentlicht.
„Leider haben Hacker einen Weg gefunden, um diese isolierten Netzwerke anzugreifen. Immer mehr Unternehmen setzen bei sensiblen Systemen auf die „Air Gap“-Technik. Darauf haben die Angreifer nun reagiert und ihre Fähigkeiten verfeinert, um neue Schwachstellen zu finden“, sagt Alexis Dorais-Joncas, Leiter des Security Intelligence Teams bei ESET. „Für Organisationen mit kritischen Infrastrukturen und/oder sensiblen Informationen, kann der Verlust dieser Daten enormen Schaden anrichten. Das Potential, das diese spezielle Malware haben, ist enorm. Alle von uns untersuchten Schadprogramme zielen darauf ab, Spionage durchzuführen. USB-Laufwerke werden als physisches Übertragungsmedium genutzt, um Daten in und aus den angegriffenen Netzwerken zu schleusen.“
Analyse soll Sicherheitsexperten bei der Prävention helfen
Die Entdeckung und Analyse dieser besonderen Schadprogramme stellen eine besondere Herausforderung dar. In einigen Fällen gibt es mehrere Komponenten, die alle zusammen analysiert werden müssen, um ein vollständiges Bild über die Angriffe zu erhalten. Die Analyse beruht auf das Wissen, das von mehr als 10 verschiedenen Organisationen im Laufe der Jahre veröffentlicht wurde, und einigen Untersuchungen zur Klärung oder Bestätigung technischer Details. So konnten die ESET-Forscher unter der Leitung von Alexis Dorais-Joncas diese besondere Art von Malware genau unter die Lupe nehmen. Sie fanden heraus, wie die Sicherheit dieser Netzwerke verbessert werden kann und zukünftige Angriffe frühzeitig erkannt sowie entschärft werden können.
Tipps zum Schutz von „Air Gap“-Netzwerken
Anhand der identifizierten Risiken hat ESET die folgende Liste von Erkennungsmethoden und Hilfsmittel zusammengestellt, um diese isolierten Netzwerke vor den wichtigsten Techniken der Hacker zu schützen.
– Verhindern des E-Mails-Zugriffs auf verbundene Hosts: Das Verhindern des direkten Zugriffs auf E-Mails auf verbundenen Systemen würden diesen beliebten Angriffsvektor entschärfen. Dies könnte mit einer Browser- bzw. E-Mail-Isolationsarchitektur umgesetzt werden, bei der alle E-Mail-Aktivitäten in einer separaten virtuellen Umgebung durchgeführt werden.
– Deaktivieren von USB-Ports: Das physische Entfernen oder Deaktivieren von USB-Ports auf allen Systemen, die in einem „Air Gap“-Netzwerk laufen, ist der ultimative Schutz. Auch wenn das Entfernen nicht für alle Unternehmen praktikabel ist, sollten funktionale USB-Ports nur auf die Systeme beschränkt werden, die es unbedingt benötigen.
– Desinfektion von USB-Laufwerken: Ein Malwarescan der USB-Laufwerke, der durchgeführt wird, bevor ein USB-Laufwerk in ein „Air Gap“-System eingesteckt wird, könnte viele der von den untersuchten Frameworks implementierten Techniken unterbrechen.
– Ausführen von Dateien nur auf Wechsellaufwerken: Das Ausführen von Dateien sollte lediglich auf Wechsellaufwerke beschränkt bleiben. Mehrere Techniken, die zur Kompromittierung eingesetzt werden, enden mit der direkten Ausführung einer ausführbaren Datei, die irgendwo auf der Festplatte gespeichert ist.
– Regelmäßige Analyse des Systems: Eine regelmäßige Analyse des Systems auf Schadprogramme ist ein wichtiger Bestandteil der Sicherheit, um Daten zu schützen.
Darüber hinaus schützt eine Endpoint Security vor dem Ausnutzen von Schwachstellen. Der Einsatz einer solchen Lösung, die auch auf den neuesten Stand gehalten werden muss, kann Angreifern bereits im Vorfeld fernhalten. „Ein vollständig gesichertes System benötigt einen zusätzlichen Schutz. Aber wie alle anderen Sicherheitsmechanismen sind auch „Air Gap“ Netzwerke kein Allheilmittel und verhindern nicht, dass Angreifer veraltete Systeme oder schlechte Mitarbeitergewohnheiten ausnutzen“, kommentiert ESET-Forscher Alexis Dorais-Joncas.
Weitere technische Details und die vollständige Analyse der ESET-Forscher gibt es auf WeLiveSecurity: https://www.welivesecurity.com/2021/12/01/jumping-air-gap-15-years-nation-state-effort
(Ende)
Aussender: ESET Deutschland GmbH Ansprechpartner: Christian Lueg Tel.: +49 3641 3114 269 E-Mail: christian.lueg@eset.de Website: www.eset.com/de