Infrastrukturverteidigung: Wasser- und Abwassersysteme

Unser erster Beitrag zur Infrastruktur erläuterte ausführlich, warum Wasser, Kommunikation, Energie und Verkehr die zentralen kritischen Infrastruktursektoren in den Vereinigten Staaten sind. In diesem Beitrag werden wir den Wasser- und Abwassersystemsektor, seine Verwaltungsorgane und die Bedrohungsakteure, die versuchen, Wassersysteme zu stören, überprüfen.

Dieser Sektor gewährleistet den Zugang zu sauberem Trinkwasser und eine ordnungsgemäße Abwasserbehandlung. Nach Angaben der CISA gibt es 152.000 öffentliche Trinkwassersysteme, darunter 50.000 kommunale Wassersysteme (CWS) und über 16.000 Abwasseraufbereitungssysteme. Diese Systeme bedienen direkt den Großteil der US-Bevölkerung. Es gibt über 100.000 weitere nicht-kommunale Wassersysteme, die Kunden wie Fabriken, Krankenhäuser und andere Unternehmen bedienen, die ihre eigenen internen Systeme haben. Die EPA ist die Sector Risk Management Agency (SRMA) für diesen Sektor.

Leider verstoßen in den USA über 70 % der durch die EPA inspizierten Systeme seit September 2023 gegen die Cybersecurity-Anforderungen des Safe Drinking Water Act (SDWA). Die gute Nachricht ist, dass viele der Verstöße durch grundlegende bewährte Praktiken behoben werden könnten, wie das Ändern von Standardpasswörtern, das Erfordernis einer Multi-Faktor-Authentifizierung und die Durchsetzung des Prinzips der minimalen Rechte. Da Infrastruktureinrichtungen sowohl auf Informationstechnologie- (IT) als auch auf Betriebstechnologiesysteme (OT) angewiesen sind, entwickeln sich diese Netzwerke zu hybriden Netzwerken mit unbekannten Sicherheitslücken. Betreiber von Wasser- und anderen Versorgungsunternehmen müssen sicherstellen, dass sie vollständige Transparenz über ihr gesamtes Netzwerk haben. Sie benötigen außerdem konsistente Sicherheitsrichtlinien, einheitliche Lösungen und eine durchdachte Segmentierung der wachsenden Angriffsfläche.

Abgesehen von der mangelnden grundlegenden Cybersecurity-Hygiene haben viele Wassersysteme die vorgeschriebenen Risiko- und Resilienzbewertungen (RRAs) und Notfallreaktionspläne (ERPs) nicht abgeschlossen. Die EPA beschreibt den Zweck von RRAs und ERPs wie folgt:

„Ihre RRA kann Hurrikans als erhebliches Risiko für Ihr Versorgungsunternehmen identifizieren und kosteneffektive Gegenmaßnahmen zur Risikominderung aufzeigen. Ihr ERP, der auf den Ergebnissen der RRA basiert, beschreibt dann die Prozesse und Verfahren, die implementiert werden können, um die Auswirkungen eines Hurrikans (z. B. Überschwemmungen) auf Ihr Versorgungsunternehmen zu mindern.

Ab dem 1. Juni 2024 hat die EPA ihre Inspektionen und Durchsetzungsmaßnahmen gegen nicht konforme Einheiten verstärkt. 

Bedrohungsakteure

Staatlich gesponserte Bedrohungsakteure sind nicht die einzigen Gruppen, die Wassersysteme angreifen, aber sie sind derzeit die auffälligsten. Zum Beispiel:

Russische Tochtergesellschaften:

Hacktivisten-Gruppen wie People's Cyber Army (PCA) und Z-Pentest haben Schwachstellen in Virtual Network Computing-Software (VNC), proprietärer Wasserkontrollsoftware, industriellen Steuerungssystemen (ICS) und Netzwerkelektronik wie Firewalls ins Visier genommen. Sie greifen auch andere kritische Infrastrukturen wie Energie, Lebensmittel und Landwirtschaft und Staudämme an. Es ist ihnen gelungen, die Betriebsparameter von Steuerungssystemen neu zu konfigurieren und administrative Passwörter zu ändern, um legitime Bediener auszusperren. 

Der Bedrohungsakteur Sandworm wird offiziell als „Militäreinheit 74455“ bezeichnet und operiert als Cyberkriegseinheit innerhalb des russischen Militärgeheimdienstes. Die Cyber Army of Russia Reborn (CARR) ist mit Sandworm verbunden, operiert jedoch rücksichtsloser und aggressiver. Einige Experten glauben, dass der russische Militärgeheimdienst CARR gegründet hat, um Angriffe durchzuführen, die für den ausgefeilteren Sandworm ungeeignet sind. Beide Bedrohungsakteure zielen auf kritische Infrastruktursysteme und Systemsteuerungen ab.

Einer der problematischsten dieser Angriffe ereignete sich im Januar 2024 in Muleshoe, Texas. Muleshoe liegt weniger als 65 Kilometer von der Cannon Air Force Base entfernt, der Heimat des U.S. Air Force Special Operations Command und des 27. Special Operations Wing. Akteure konnten Kontrollsysteme neu konfigurieren und einen Wassertank zum Überlaufen bringen. Die Bedrohungsakteure führten denselben Angriff auf die nahegelegenen Städte Abernathy, Hale Center und Lockney durch und veröffentlichten Videos, in denen sie mit den Wasserkontrollsystemen interagieren.

Forscher von Mandiant haben diese Angriffe mit Sandworm in Verbindung gebracht, obwohl CARR die Verantwortung dafür übernommen hat. Sie können hier weitere Details zu diesen Angriffen erhalten.

Iranische Partner:

Der Bedrohungsakteur Cyber Av3ngers soll angeblich mit dem Korps der Islamischen Revolutionsgarde (IGRC) des Iran in Verbindung stehen. Cyber Av3ngers wurde ursprünglich für eine unabhängige Hacktivistengruppe gehalten, wurde jedoch durch „Verbindungen zu zuvor identifizierten Hacking-Kampagnen, das Targeting und andere nicht öffentliche Informationen“ mit IGRC in Verbindung gebracht. Es heißt außerdem, dass die IRGC Bedrohungsakteure hat, die direkt innerhalb ihres Cyber-Electronic Command (CEC oder IRGC-CEC) operieren.

Cyber Av3ngers und CEC-Bedrohungsakteure haben speicherprogrammierbare Steuerungen (SPS) und andere Betriebstechnologien (OT) ins Visier genommen, um die Wassersysteme der USA zu kompromittieren. Dies ist ein klassischer Lieferkettenangriff auf die US-Infrastruktur durch Exploits auf einer anfälligen SPS eines Drittanbieters. Da die anfälligen SPS in Israel hergestellt werden, nutzt die Cyber Av3ngers-Gruppe diese Gelegenheit, um sowohl die USA als auch Israel in einem einzigen Angriff ins Visier zu nehmen.

 „Sie wurden gehackt, nieder mit Israel. „Jedes Gerät ‚Made in Israel‘ ist ein legales Ziel von CyberAv3ngers.“

Berichten zufolge führt die Gruppe opportunistische Angriffe geringer Intensität durch, die auf in Israel hergestellte Ausrüstung abzielen. Andere Untersuchungen zeigen, dass die Bedrohungsakteure immer raffinierter werden und maßgeschneiderte Malware IOCONTROL einsetzen, um Wassersysteme und Tankstellen zu infiltrieren.

Partner der Volksrepublik China (VR China):

Die VR China verfügt über eine hochentwickelte Cyber-Einheit, die in militärische und nichtstaatliche Kräfte gegliedert ist. Die Volksbefreiungsarmee kontrolliert die militärischen Kräfte, die Satelliten- und Kommunikationsunternehmen in den USA, Japan und Europa ins Visier nehmen. Neben den Militäreinheiten gibt es Zehntausende von Zivilisten, die bei Angriffs- und Verteidigungsaktivitäten helfen. Die ideologische Ausrichtung und die schiere Anzahl der militärischen und zivilen Bedrohungsakteure machen die Cyber-Operationen der Volksrepublik China zu einer der beeindruckendsten der Welt.

Das U.S. Office of the Director of National Intelligence berichtet, dass Angriffe im Zusammenhang mit der VR China zu den „größten und beständigsten Bedrohungen für die nationale Sicherheit der USA“ gehören. Dies ist hauptsächlich auf die Anzahl der Angriffe und die Komplexität der von der VR China gesponserten Advanced Persistent Threats (APTs) zurückzuführen. Das US-Repräsentantenhaus hat einstimmig die House Resolution 9769 verabschiedet, die die Einrichtung einer Task Force vorsieht, „um die umfangreichen Cybersecurity-Bedrohungen zu bekämpfen, die von staatlich geförderten Cyber-Akteuren mit Verbindungen zur VR China ausgehen.“

Der Bedrohungsakteur Salt Typhoon aus der VR China steht derzeit in den Schlagzeilen wegen seines massiven Angriffs auf US-Telekommunikationsnetze. Die Akteure von Salt Typhoon sind geschickt im Einsatz von „Living-off-the-land“-Techniken (LotL), um Beharrlichkeit und Tarnung zu bewahren. Sie sind derzeit nicht mit Angriffen auf Wassersysteme verbunden, aber alle Sektoren sind auf zuverlässige Kommunikation angewiesen. Die Behörden haben alle Branchen und Sektoren gewarnt, sich gegen diese Bedrohung zu schützen.

Anfang dieses Jahres entdeckten US-Behörden, dass der mit der VR China verbundene Bedrohungsakteur Volt Typhoon seit mindestens fünf Jahren Zugang zu wichtigen Infrastruktursystemen aufrechterhält. Dieser Bedrohungsakteur betreibt eine „Pre-Positioning“-Aktivität, was bedeutet, dass sich der Angreifer in eine Position bringt, um zukünftige Angriffe durchzuführen. Durch diese Bedrohungsakteure hat die VR China unmittelbaren Zugang zur US-Infrastruktur, die sie nach Belieben nutzen kann. Volt Typhoon greift alle Infrastruktursektoren an, mit Schwerpunkt auf Energie, Kommunikation, Transport und Wasser.

Der Bedrohungsakteur BlackTech hat Regierungssysteme, mehrere Infrastruktursektoren und Einrichtungen ins Visier genommen, die die Streitkräfte der USA und Japans unterstützen. Diese Gruppe ist bekannt für ihre Langlebigkeit und ihr umfangreiches Inventar an maßgeschneiderter Malware und Persistenzmechanismen. BlackTech zielt auf anfällige Firewalls ab, die die Außenstellen oder Zweigstellen größerer Unternehmen schützen. Sobald sie sich Zugang verschafft haben, versuchen sie, sich in den Netzwerkverkehr einzuschleichen, in größere Netzwerke zu gelangen und ihre Privilegien zu erweitern, bis sie die volle administrative Kontrolle über die anvisierten Anlagen haben.

Im September 2023 veröffentlichten die Behörden der USA und Japans ein gemeinsames Gutachten, das die Öffentlichkeit warnte:

„BlackTech hat bewiesen, dass es in der Lage ist, Router-Firmware unbemerkt zu modifizieren und die Domänen-Vertrauensbeziehungen von Routern auszunutzen, um von internationalen Tochtergesellschaften zu den Hauptzentralen in Japan und den USA – den Hauptzielen – zu wechseln.“

Die US-amerikanische National Security Agency (NSA) hat sich anderen Strafverfolgungsbehörden angeschlossen, um die Öffentlichkeit vor diesen Bedrohungen zu warnen.

Herausforderungen für die Sicherheit von Wasser- und Abwassersystemen

Budgetbeschränkungen, Altsysteme/End-of-Life-Systeme und Schwachstellen in der Lieferkette sind Herausforderungen für alle Sektoren, und die Leitlinien zur Minderung dieser Risiken werden in allen Bereichen ähnlich sein. Die Zersplitterung der Wasserinfrastruktur stellt jedoch einige einzigartige Herausforderungen dar.

92 % der kommunalen Wassersysteme sind kleine öffentliche Wassersysteme (PWSs), die weniger als 10.000 Kunden bedienen. Die meisten kleinen PWS-Anbieter bedienen weniger als 500 Kunden, was sie für Bedrohungsakteure, die nach einfachen Zielen suchen, attraktiv macht. Kleinere Systeme verfügen oft über weniger Ressourcen und weniger Fachwissen im Bereich der Cybersecurity, weshalb diese grundlegenden Cyber-Hygienepraktiken so wichtig sind. Durch diszipliniertes und konsequentes Patch-Management und die Sicherung von Zugangsdaten können viele Lücken in diesen Netzwerken geschlossen werden.

 „Das Risiko für die Gemeinschaft durch Cyberangriffe umfasst, dass ein Angreifer die Kontrolle über die Abläufe eines Systems erlangt, um die Infrastruktur zu beschädigen, die Verfügbarkeit oder den Wasserfluss zu stören oder die chemischen Werte zu verändern, was dazu führen könnte, dass unbehandeltes Abwasser in ein Gewässer eingeleitet oder das Trinkwasser einer Gemeinde verunreinigt wird“, sagte ein EPA-Sprecher gegenüber CNBC: Amerikas Trinkwasser wird angegriffen, mit Verbindungen nach China, Russland und Iran.

Anleitung für Betreiber von Wassersystemen

„Wasser gehört zu den am wenigsten ausgereiften Bereichen in Bezug auf Sicherheit“, sagte Adam Isles, Leiter der Cybersecurity-Praxis der Chertoff Group, gegenüber CNBC: Biden-Administration und US-Häfen bereiten sich auf Cyberangriffe vor, da die landesweite Infrastruktur ins Visier genommen wird

Die EPA, CISA und andere Behörden haben Best Practices und weitere Leitlinien für die Infrastruktur veröffentlicht:

• Netzwerksicherheit: Beschränken Sie die Internet-Konnektivität von Betriebstechnologie-Geräten (OT) wie Steuerungen und Fernterminals. Wo möglich, behalten Sie die Segmentierung zwischen IT- und OT-Systemen bei.
• Zugriffskontrolle und Authentifizierung: Ändern Sie die Standardpasswörter sofort und setzen Sie strenge Zugriffskontrollmaßnahmen durch, einschließlich Multi-Faktor-Authentifizierung (MFA), wo immer möglich. Implementieren Sie eine Zero-Trust-Lösung, die den Zugriff auf alle IT- und OT-Systeme schützt.
• Asset Management: Pflegen Sie ein aktuelles Inventar von OT/IT-Assets, um zu verstehen, was geschützt werden muss. Priorisieren Sie Geräte mit höherem Risiko, wie automatisierte oder internetverbundene Geräte.
• Backup und Wiederherstellung: Sichern Sie regelmäßig sowohl OT- als auch IT-Systeme mit dem NIST 3-2-1-System. Testen Sie regelmäßig die Backup-Verfahren und überwachen Sie das System auf neue Dateifreigaben und Speicherorte, die möglicherweise außerhalb des aktuellen Backup-Sets liegen.  
• Schwachstellenmanagement: Bekannte Schwachstellen sollten gemildert und Patches sowie Sicherheitsupdates so schnell wie möglich angewendet werden. Priorisieren Sie Patches gemäß dem Katalog „Known Exploited Vulnerabilities“ (KEV) der CISA.
• Schulung und Sensibilisierung: Schulen Sie Mitarbeiter und Auftragnehmer in Bezug auf Cybersecurity und bewährte Verfahren. Schulen Sie Ihre Mitarbeiter darin, Phishing-Versuche zu erkennen und zu vermeiden.
• Planung der Incident Response: Entwickeln und testen Sie Pläne zur Reaktion auf Cybersecurity-Vorfälle und zur Wiederherstellung. Legen Sie Notfallverfahren fest und führen Sie manuelle Bedienungen von automatisierten Systemen durch, falls diese Systeme kompromittiert werden.

Die EPA bietet hier weitere Security-Richtlinien.

Leitfaden für die Öffentlichkeit

CISA und andere Behörden haben ebenfalls Richtlinien für die Öffentlichkeit herausgegeben. Diese reichen von allgemeinen Cybersecurity-Praktiken bis hin zur Förderung der Infrastruktur.

• Praktizieren Sie zu Hause gute Cybersecurity-Gewohnheiten, insbesondere wenn Sie intelligente Wasserzähler oder mit dem Internet verbundene Wassergeräte verwenden. Dies umfasst die Verwendung von starken Passwörtern und Multi-Faktor-Authentifizierung (MFA) für alle Konten, die mit Wasserdienstleistungen verbunden sind.
• Melden Sie verdächtiges Verhalten, das in der Nähe von Wasserinfrastruktureinrichtungen beobachtet wurde. Dies könnten Wasserquellen, Aufbereitungsanlagen, Verteilungssysteme oder andere Elemente der Infrastruktur sein. Die zuständige Stelle kann eine lokale Behörde oder ein Wasserversorgungsunternehmen sein.  
• Treten Sie mit lokalen Behörden und Versorgungsunternehmen in Kontakt, um mehr über die Herausforderungen des Wassersystems in Ihrer Gemeinde zu erfahren. Setzen Sie sich für mehr Ressourcen im Bereich der Cybersecurity ein, wo sie benötigt werden.

Benutzer und Mitarbeiter von Wasserinfrastruktursystemen müssen ihre Zugangsdaten sorgfältig schützen. Angreifer werden strategisch Personen ins Visier nehmen, die für den größeren Angriff von Bedeutung sind. Wir haben dies schon oft erlebt, zuletzt durch IRGC-Bedrohungsakteure, die Personen ins Visier nehmen, die „in irgendeiner Weise mit iranischen und nahöstlichen Angelegenheiten verbunden sind, wie z. B. derzeitige oder ehemalige hochrangige Regierungsbeamte, leitende Mitarbeiter von Denkfabriken, Journalisten, Aktivisten und Lobbyisten“. „In jüngster Zeit hat das FBI beobachtet, dass diese Akteure Personen ins Visier nehmen, die mit US-amerikanischen politischen Kampagnen in Verbindung stehen.“

Diese Art von Bedrohung wird gegen Personen eingesetzt, die mit Wasser- und anderen Infrastruktursystemen verbunden sind. Kritische Infrastrukturen sind eine Frage der nationalen Sicherheit. Jeder Betreiber dieser Systeme sollte eine Kultur des Sicherheitsbewusstseins fördern und eine gute Cyberhygiene praktizieren.

Unser nächster Blog über Infrastruktur wird den Kommunikationssektor behandeln. Wenn Sie mehr über kritische Infrastrukturen erfahren möchten, bietet die offizielle Website der USA zahlreiche Ressourcen.