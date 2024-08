Im vergangenen Januar legte ein Cyberangriff ein Fernheizungswerk in Lviv in der Ukraine lahm. Rund 600 Wohnungen hatten zwei Tage lang keine Heizung. Das auf die Sicherung von industriellen Systemen spezialisierte Unternehmen Dragos hat den Vorfall zusammen mit dem Cyber Security Situation Center (CSSC) der Ukraine analysiert, und nun einen Bericht darüber veröffentlicht.

Die Bedeutung des Angriffs könnte demnach weit über diesen isolierten Vorfall hinausgehen. Laut Dragos haben die Angreifer eine Malware verwendet, die das Protokoll "Modbus" benützt, um mit vernetzten Kontrollsystemen zu kommunizieren. Die Malware soll es ihnen erlauben, sowohl Daten der geknackten Geräte auszulesen als auch Daten darauf zu ändern.

Beim Angriff in Lviv haben die Hacker laut dem Bericht Temperatursensoren im Fernwärmenetz manipuliert. Diese glaubten dadurch, dass die betroffenen Wohnungen wesentlich wärmer waren als in Wirklichkeit. Deshalb wurde nur noch kaltes Wasser in die Heizkörper gepumpt.

Weit verbreitet, schlecht geschützt

Das Protokoll Modbus ist gemäss dem Security-Unternehmen weit verbreitet, längst nicht nur in der Ukraine. Es wird demnach sowohl in Legacy-Systemen als auch in modernen Systemen eingesetzt, um mit Controllern aller Art zu kommunizieren. Weltweit gebe es rund 46'000 Systeme, die über das Internet erreichbar sind.

Trotz der hohen Verbreitung sei das Protokoll aber schlecht gesichert. Es gebe sehr oft keine Authentisierungsmechanismen, so dass eine blosse Präsenz in einem entsprechenden Netzwerk genüge, um die Kontrolle über Geräte zu übernehmen.