Einer der größten Flughäfen der Welt nutzt ein Air-Gap-Netz zur Verwaltung seiner internen Operationen in allen Bereichen von Sicherheit bis Logistik. Trotz des abgeschotteten Systems des Flughafens wurden mehrere Geräte mit Malware infiziert, die Informationen erfassen und lokal speichern konnte.
Sicherheitstechnische Herausforderungen
- Kritische Infrastruktur ohne Toleranz für Ausfallzeiten
- Mangel an Sicherheitsmaßnahmen im Netz
- Air-Gap-Netz, das Geräte mit sowohl niedrigem als auch hohem Sicherheitsniveau verbindet
- Fehlende Transparenz der Geräte in der Air-Gap
Dieser große internationale Flughafen, einer der größten Verkehrsknotenpunkte der Welt, befördert jedes Jahr 70 Millionen Passagiere mit mehr als 1.000 Flügen pro Tag. Der Flughafen hält im Allgemeinen sehr gute Sicherheitsprotokolle ein. Er nutzt ein vollständig isoliertes Netzwerk für den Betrieb essenzieller Dienste, um Infizierungen mit Bedrohungen aus dem Internet zu vermeiden. Allerdings vermittelte das Air-Gap-Netz ein falsches Sicherheitsgefühl. Obwohl kein Gerät in der Air-Gap auf das Internet zugreifen konnte, war jedes interne Netzsegment ohne Kontrolle des Datenverkehrs miteinander verbunden.
Darüber hinaus umfasste das Air-Gap-Netz auch Geräte, die für die Öffentlichkeit zugänglich waren, wie etwa Informationskioske, wodurch essenzielle Dienste einer potenziellen Bedrohung ausgesetzt waren. Außerdem bestand die einzige Möglichkeit, externe Informationen in das Netzwerk zu bringen, in der Nutzung von USB-Laufwerken. Das machte die Endpunkte potenziell anfällig für unwissentlich vom Flughafenpersonal eingeschleuste Malware.
1.000 Flüge
Der Flughafen fertigt mehr als 1.000 Flüge pro Tag ab
70 Millionen
Jährlich werden hier 70 Millionen Passagiere befördert
Die durch die von QRadar EDR geschaffene Transparenz ermöglichte die Rekonstruktion des Vorfalls von Anfang an. So konnte die Infektion sicher behoben werden, ohne die Business-Continuity des Flughafens zu beeinträchtigen.
Lösungsübersicht:
- Der Flughafen implementierte die IBM Security® QRadar® EDR-Software, welche die NanoOS-Technologie für eine herausragend transparente Übersicht über Endpunkte und Infrastruktur einsetzt.
- Die Behavioral Engines von QRadar EDR arbeiten ohne Einschränkungen in isolierten Netzwerken.
- Mithilfe leistungsstarker Funktionen zur Bedrohungssuche kann der Flughafen Vorfälle rekonstruieren und analysieren.
Der Flughafen nutzte die IBM Security QRadar EDR-Software, um einen Hygienecheck des Air-Gap-Netzes durchzuführen, da manche Endpunkte langsam erschienen. Nach dem Einsatz von QRadar EDR in einem ersten Segment entdeckten die Engines potenziell bösartige Aktivitäten, die von einer kleinen Anzahl von Geräten ausgingen. Die erste Analyse deutete auf einen öffentlichen Kiosk als ersten Eingangspunkt hin. Eine weitere Analyse legte jedoch einen zweiten Eingangspunkt offen: ein Gerät im Check-in-Bereich. Diese beiden Malware-Vektoren konnten sich auf eine beschränkte Anzahl von Geräten in verschiedenen Netzwerksegmenten ausbreiten.
Die durch die von der QRadar EDR-Plattform geschaffene Transparenz ermöglichte die Rekonstruktion des Vorfalls von Anfang an. So konnte die Infektion sicher behoben werden, ohne die Business-Continuity des Flughafens zu beeinträchtigen.
Ursachenanalyse
Im Rahmen der ersten Bereitstellung wurden mehrere Verhaltensanomalien erkannt. So installierte eine Anwendung einen Keylogger im Speicher, indem sie ihn in eine versteckte Instanz des Standardbrowsers einfügte. Danach konnte ein anderer Thread die Festplatte nach Microsoft Word-Dateien, PDF-Dateien, Cookies und Browser-Datenbanken durchsuchen. Diese Informationen wurden in einem versteckten Verzeichnis gesammelt, wonach der Versuch unternommen wurde, sie in regelmäßigen Abständen an einen Command-and-Control-Server (C2) zu senden. Diese Versuche waren jedoch nicht erfolgreich, da das Netzwerk vollständig von der Außenwelt isoliert war.
Eine eingehendere Untersuchung des Infektionsvektors führte zu interessanten Ergebnissen: Der Vektor war ungewöhnlich groß und enthielt eine Reihe von Mechanismen, die nicht nur die lokale Antivirus-Software, sondern auch eine Sandbox-Analyse umgehen sollten. Die große Größe war höchstwahrscheinlich Teil eines Versuchs, eine Antiviren-Emulations-Engine zu umgehen, da derartige Systeme normalerweise einen kleinen Teil der gesamten Binärdatei emulieren.
Am Ende konnten zwei verschiedene Vektoren erkannt werden: einer, der in einem öffentlichen Kiosk installiert war, und ein anderer, der sich auf einem Gerät befand, das zum Sensor des Check-in-Managementnetzwerks gehörte. Obwohl beide Vektoren ein unterschiedliches Erscheinungsbild hatten – hauptsächlich aufgrund einer großen Menge von Junk-Anweisungen, die eine Erkennung verhindern sollten – handelte es sich anscheinend um dieselbe Malware. Sie versuchte in beiden Fällen, denselben C2-Server zu kontaktieren, und wies dieselben Verhaltensweisen auf.
Rekonstruktion des Angriffs
Wenn QRadar EDR erst nach einem Verstoß implementiert wird, sind nicht alle Informationen verfügbar. Die native Infrastruktur nimmt nur minimale Protokollierung auf Betriebssystemebene vor. Trotz der geringen Informationsmenge konnte eine Folgeanalyse zeigen, dass die Infektion fünf Monate zuvor erfolgt war. Die beiden Endpunkte wurden im Abstand von wenigen Tagen von zwei verschiedenen USB-Laufwerken infiziert. Andere Endpunkte wurden von einem dieser Vektoren hauptsächlich aufgrund schwacher Passwörter infiziert, die die Malware auf jedem Gerät, mit dem sie sich verbinden konnte, abzugleichen versuchte. Die Malware konnte durchgehend Informationen sammeln und schien nicht über eine Aufbewahrungssteuerung oder Speicherbeschränkungen zu verfügen. Alle acht Stunden erfolgte der Versuch, eine Verbindung zu dem C2-Server herzustellen. Dies war aufgrund des Air-Gap-Netzes jedoch nicht erfolgreich.
Die abschließende Analyse zeigte, dass die Malware zwar über die Fähigkeit zur Selbstreplikation verfügte und ihren Speicher automatisch auf ein externes USB-Laufwerk kopieren konnte, diese Funktion jedoch nicht aktiviert war. Vermutlich sollte die Exfiltration manuell eingeleitet werden.
Reaktion und Korrektur
Der Flughafen nutzte das Korrekturmodul in QRadar EDR, um die infizierten Geräte zu bereinigen und die erkannten Sammelordner löschen, um so ein Datenleck zu verhindern. Die Threat-Hunting-Schnittstelle der Lösung spielte eine entscheidende Rolle dabei, die Abwesenheit desselben Vektors in der gesamten Infrastruktur zu bestätigen, mit Ausnahme der bereits identifizierten infizierten Geräte. Der Flughafen führte zudem eine verhaltensorientierte Suche durch, um sicherzustellen, dass keine weiteren Instanzen der Malware unerkannt auf anderen Geräten aktiv waren. Man verfolgte alle erkannten Verhaltensweisen, permanenten Bedrohungen und Datenerfassungsmethoden so lange, bis bestätigt werden konnte, dass dieser Vektor und seine Varianten nicht mehr in der Infrastruktur vorhanden waren.
Schließlich etablierte das lokale Sicherheitsteam strengere Regeln für die Kontrolle von internem Datenverkehr. Der öffentliche Teil des Netzwerks wurde vom operativen Teil getrennt und das lokale Sicherheitsteam führte eine kontinuierliche Überwachung der Endpunkte und regelmäßige Kampagnen zur Verfolgung von Bedrohungen ein.
Der Flughafen nutzte das Korrekturmodul in QRadar EDR, um die infizierten Geräte zu bereinigen und ein Datenleck zu verhindern. Die Threat-Hunting-Schnittstelle der Lösung half dabei, die Abwesenheit des Vektors in der gesamten Infrastruktur zu bestätigen.
Air-Gap-Netze können hohe Sicherheit bieten, allerdings auch ein falsches Sicherheitsgefühl vermitteln, wenn sie nicht auf strenge Weise implementiert sind. Obwohl die Motivation hinter dem Angriff unklar bleibt, da Daten erfasst, aber nie ausgelesen wurden, können wir mit großer Sicherheit annehmen, dass den Angreifern die Tür zur Infrastruktur offen stand. Nicht nur, um Informationen zu erhalten, sondern auch, um den Betrieb des Flughafens aktiv zu schädigen. Ein einfacher Ransomware-Angriff auf den Check-in-Bereich hätte unweigerlich zu Verzögerungen geführt. Derselbe Angriff auf den Sicherheitsbereich hätte es ermöglicht, Flüge vollständig zu blockieren und schwerwiegende Folgen zu verursachen.
Rechtshinweise
© Copyright IBM Corporation 2023. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Hergestellt in den
Vereinigten Staaten von Amerika, Juni 2023
IBM, das IBM Logo, ibm.com und IBM QRadar sind Marken der International Business Machines Corp. und in vielen Ländern weltweit eingetragen. Weitere Produkt‐ und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM Marken finden Sie auf der Webseite „Copyright and trademark information“ unter www.ibm.com/de-de/trademark.
Das vorliegende Dokument ist ab dem Datum der Erstveröffentlichung aktuell und kann jederzeit von IBM geändert werden. Nicht alle Angebote sind in allen Ländern verfügbar, in denen IBM tätig ist.
Die genannten Leistungsdaten und Kundenbeispiele dienen ausschließlich zur Veranschaulichung. Tatsächliche Leistungsergebnisse hängen von den jeweiligen Konfigurationen und Betriebsbedingungen ab. DIE INFORMATIONEN IN DIESEM DOKUMENT WERDEN OHNE JEGLICHE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE ZUR VERFÜGUNG GESTELLT, EINSCHLIESSLICH DER GARANTIE DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER GARANTIE ODER BEDINGUNG DER NICHTVERLETZUNG VON RECHTEN. Die Garantie für Produkte von IBM richtet sich nach den Geschäftsbedingungen der Vereinbarungen, unter denen sie bereitgestellt werden.