Loading

Das Experiment: Hacker-Angriff auf Unternehmen FH-Studierende dringen in Datennetze ein

Breaking News

Soeben wurde bekannt, dass Hacker planen, ins Datennetz der SOPTIM AG einzudringen. Dr. Heiner Halbach aus dem Soptim-Vorstand zeigt sich empört über diese Ankündigung, kündigt aber Gegenmaßnahmen an:

„Jedes über das Internet angebundene Device kann potentiell gehackt werden. Es kommt darauf an, mit dieser Tatsache zu rechnen und umgehen zu können.“

Die Mission

Angriffe auf IT-Systeme sind keine Fantasien von Science-Fiction-Romanautoren, sondern passieren hier und jetzt in unserer Gesellschaft. Das oben beschriebene Szenario ist zwar fiktiv, wird nun aber zu Demonstrationszwecken realisiert: Um auf das Thema Cyber-Sicherheit hinzuweisen, soll ein studentisches Team der FH Aachen ein Unternehmen angreifen und einen Blackout verursachen - natürlich in Absprache mit dem "Opfer".

Die FH-Studierenden lernen, wie sie IT-Systeme sicherer machen können. Jetzt schlüpfen sie selbst in die Rolle der Hacker.

Das konkrete Ziel: die Manipulation der Haussteuerung des Unternehmens. Über die Haussteuerung können Licht, Heizung, Schließ- und Alarmanlage eines Firmengebäudes gesteuert werden, und genau deshalb ist sie als Ziel für Angriffe interessant.

Die Firma SOPTIM AG hat sich als Angriffsziel zur Verfügung gestellt. Besondere Herausforderung für das Team: Die Haustechnik hängt nicht im Firmennetz, sondern ist isoliert. Der Auftrag: Findet einen Weg, das System trotzdem zu hacken! Das Vorgehen wird in den kommenden Wochen hier im Blog dokumentiert.

Inhaltsverzeichnis

  • Der Tag des Angriffs
  • "Phase 4 - Übernahme der SOPTIM AG": Blog-Eintrag der Hacker*innen vom 15. November
  • "Phase 3 - Angriff auf SOTPIM": Blog-Eintrag der Hacker*innen vom 9. November
  • "Angriff per Mail – wie schützen wir uns dagegen?": Blog-Eintrag der SOPTIM AG vom 2. November
  • "Phase 2 - Social Engineering": Blog-Eintrag der Hacker*innen vom 26. Oktober
  • "Phase 1 - Information Gathering": Blog-Eintrag der Hacker*innen, 12. Okotber
  • "Awareness heißt das Stichwort, unter dem dieser Blog steht": Blog-Eintrag von Soptim, 5. Oktober

Der Tag des Angriffs

Blog-Eintrag der Hacker*innen vom 15. November

Phase 4: Übernahme der SOPTIM AG

Die Soptim AG hatte gut reden: Klar sind gefälschte E-Mails eine alte, aber vor allem auch eine gut bewährte Methode, um ein System zu hacken. Und damit sind wir auch in das Netz der Soptim AG eingedrungen. Dadurch, dass unser Opfer die von uns gefälschte E-Mail angesehen, die schadhafte PDF-Datei heruntergeladen und geöffnet hat, wurden uns alle Türen geöffnet. Jetzt befinden wir uns im internen Netz. Unser Ziel: Die Haustechnik!

Nach einigem Suchen sind uns diese zwei Dateien aufgefallen:

Nach kurzer Recherche haben wir herausgefunden, dass diese Dateien von einem Siemens System genutzt werden. Soptim benutzt also eine Logo (das ist eine Steueranlage) von Siemens für ihre Haussteuerung. Gut zu wissen!

Nach weiterer interner Recherche haben wir zudem noch herausgefunden, dass einmal im Jahr diese Dateien verändert und neu aufgespielt werden. Grund genug für uns, der Soptim etwas Arbeit abzunehmen und diese Veränderung selbst vorzunehmen...

Doch da es ja auffallen würde, wenn die Programme plötzlich ganz anders aussehen, haben wir ein weiteres Programm auf den Rechner geladen, dessen einzige Aufgabe darin besteht, zu warten bis sich diese zwei Dateien verändern, um anschließend diese durch unsere zu ersetzen.

Ein teuflisch guter Plan! Nachdem wir erstmal die Haussteuerung übernommen haben, wird uns die Soptim AG zu Füßen liegen. Seien wir mal ehrlich: Wer wehrt sich denn noch gegen einen Hackerangriff, wenn erstmal die Kaffeemaschine ausgefallen ist?

Blog-Eintrag der Hacker*innen vom 9. November

Phase 3: Angriff auf SOPTIM

Nun ist es soweit. Wir haben genug Informationen gesammelt, um den Angriff gegen die SOPTIM AG zu starten. Mit diesen Informationen konnten wir eine Phishing Mail erzeugen, die den Schadcode auf den Rechner der Zielperson bringen soll.

Mit der E-Mail laden wir die Zielperson zu einer Alumnifeier ihrer ehemaligen Hochschule ein. Auf der Webseite der entsprechenden Hochschule haben wir ein Dokument gefunden, welches genau das Material beinhaltet, das wir brauchten. Für unseren Sachverhalt haben wir es entsprechend kopiert und angepasst:

Wir bitten zu entschuldigen, dass wir aufgrund der Anonymität dieses Dokument an den entsprechenden Stellen schwärzen mussten.

Um die E-Mail möglichst echt wirken zu lassen, haben wir die Hochschule angeschrieben. So konnten wir an das E-Mail-Template der Leiterin des Alumni-Programms kommen und es imitieren.

Folgende Mail haben wir deshalb an die Hochschule versandt:

Die Mail haben wir unter einem fiktiven Namen von einer Fake-Mail versendet.

Als Antwort kam Folgendes:

Auch hier müssen wir Namen und Logos aus Datenschutzgründen schwärzen. Der große schwarze Block versteckt die Signatur der Leiterin des Alumni-Programms.

... womit wir das Mail-Schema der Hochschule hatten und dies zu unseren Gunsten kopieren konnten:

Auch hier versteckt der schwarze Block die Signatur: dieses Mal aber nicht von der realen Leiterin des Alumniprogramms, sondern die von uns kopierte.

Nun müssen wir warten bis unsere Zielperson durch diese Mail unseren Schadcode ausführt und wir dadurch Zugriff auf dessen Rechner bekommen. Der Schadcode wird entweder durch die PDF ausgeführt oder von der Website runtergeladen, auf die wir verlinkt haben.

Um das Aussehen der komplett fertigen Mail den Lesern nicht vorzuenthalten, hier die Mail, die unsere Zielperson von uns bekomen hat:

Diese Mail haben wir dann unter dem Namen der Leiterin des Alumni-Programms versendet. Wir haben auch ihre Mailadresse im Absender imitiert.

Blog-Eintrag der SOPTIM AG vom 2. November 2017

Angriff per Mail – wie schützen wir uns dagegen?

Unsere Gegner setzen also auf E-Mails und wollen ihren Zielpersonen gefälschte Informationen unterjubeln – eine alte und bewährte Methode, mit der schon Kriege (mit-)entschieden wurden. Nachrichten abfangen, verändern oder verschwinden lassen – das war schon im Altertum üblich. Die verlässliche Einschätzung, ob eine Nachricht echt oder gefälscht ist, ist ebenso fundamental wie schwierig. Vielfach spielt dabei „Verschlüsselungstechnik“ eine zentrale Rolle, und die Kryptographen des 5. vorchristlichen Jahrhunderts, die Griechenland vor der Eroberung durch die Perser bewahrten, waren genau so begehrt wie die britischen Wissenschaftler, die 1944 die deutsche ENIGMA knackten und so die alliierte Invasion in Frankreich ermöglichten. Aber vielleicht bedienen sich unsere Gegner auch viel einfacherer Methoden und agieren unverschlüsselt – mit erfundenen Falschnachrichten und gefaketen E-Mails? Original oder Fälschung – eine Frage die häufig nicht einfach zu beantworten ist, wie die beiden unten stehenden Fotos zeigen.

Original (oben) und Fälschung (unten) sehen sich zum Verwechseln ähnlich, und insbesondere weiß man gar nicht, was gefälscht ist.

Es ist notwendig, dass wir uns Mails – aus dem geschäftlichen wie auch privaten Umfeld – genauer ansehen. Woran wäre eine Fälschung wohl zu erkennen? Absenderadressen könnten beispielsweise falsch sein, auch wenn sie bekannt und korrekt aussehen. Oder benutzt der Absender normalerweise eine digitale Signatur, die bei der neuen Nachricht fehlt? Eine solche Signatur stellt durch einen Hashcode sicher, dass die Nachricht nicht nachträglich verändert wurde, und über ein Zertifikat ist die Identität des Absenders nachprüfbar. Und was ist mit eingebetteten Links? Diese müssen wir uns ebenso genau ansehen wie angehängte Dateien – könnte alles anders sein als es aussieht. Vielleicht haben unsere Gegner aber auch die seit Kurzem bekannten Lücken in der WPA2-Verschlüsselung von privaten WLAN-Routern genutzt und haben echte Nachrichten erzeugt? Wie lange werden wir noch „clean“ bleiben, oder waren die Angreifer schon erfolgreich? – In den nächsten zwei Wochen geht es um „die Wurst“!

Blog-Eintrag der Hacker*innen vom 26. Oktober 2017

Phase 2: Information Gathering

"Zuerst haben wir eingehende Nachforschungen zu unseren Zielpersonen unternommen. Diese Informationen haben wir ausgewertet und konnten uns so für eine bestimmte Person aus dem Unternehmen entscheiden, der wir gezielt eine so genannte Phishing E-Mail schicken werden.

Zur Erklärung: Eine Phishing Mail ist eine gefälschte Mail, die das Opfer dazu bringen soll, eine Datei zu öffnen, welche dann Schadcode auf dem Rechner ausführt. Die Datei kann über den Anhang mitgesendet oder über einen Link in der Mail platziert werden. Klickt das Opfer auf den Link, lädt es die Datei mit dem Schadcode selbst herunter.

Die Vorbereitungen für den Hacker-Angriff auf Soptim laufen.

Teil der Social Engineering Phase ist es, möglichst viele persönliche Informationen über die Zielperson zu sammeln. Mit diesen Informationen können wir eine so gut zugeschnittene E-Mail erstellen, dass die Zielperson mit sehr großer Wahrscheinlichkeit darauf reagiert. Wichtig ist es, die E-Mail so vertrauenswürdig und authentisch wie möglich zu gestalten.

In unserem Fall verwenden wir Informationen über das Studium der Zielperson. Wir wissen wo und wann die Zielperson ihr Studium absolviert hat. Nun werden wir das E-Mail Design dieser Hochschule kopieren und die Informationen nutzen, um eine personalisierte Phishing Mail zu versenden.

Wie kriegen wir die Zielperson dazu, die Mail und ihren Anhang zu öffnen? Die Antwort: Wir laden sie zu einer fiktiven Alumnifeier ihrer alten Hochschule ein.

Die Mail lädt zu einem Alumnitreffen ein. Im Anhang befindet sich eine PDF-Datei mit den Veranstaltungsdetails. Zudem wird auf eine Webseite zur Anmeldung verwiesen. Im besten Fall wird das Opfer die PDF-Datei öffnen, die Schadcode enthalten könnte und auf den Link gehen, um sich für das scheinbare Event anzumelden und weitere persönliche Daten preiszugeben..."

Blog-Eintrag der Hacker*innen vom 12. Oktober 2017

Phase 1: Information Gathering

Phase 1 läuft. Wir kennen die Zielpersonen, und unser Ziel ist es jetzt, möglichst viele Informationen über sie und das Unternehmen zu bekommen.

Der erste Schritt: so viele Informationen über die Zielpersonen und das Unternehmen sammeln wie möglich!

In der letzten Woche haben wir die privaten Adressen und Telefonnummern der Zielpersonen herausgefunden. Außerdem haben wir Informationen über ihre Hobbys, Trainingszeiten und ihre Familien gesammelt. Wir wissen auch, an welchen Aktionen die Zielpersonen teilnehmen. Das erlaubt uns, auf bestimmte Verhaltensweisen zu schließen. Die Informationen benutzen wir, um mögliche Angriffspunkte zu analysieren und Angriffsstrategien zu entwickeln. Wir erstellen Schad-Mails, die auf die Zielpersonen zugeschnitten sind. Das erhöht die Wahrscheinlichkeit, dass sie die Mails öffnen und wir somit die Möglichkeit bekommen, auf das System zuzugreifen und es zu manipulieren...

Blog-Eintrag der SOPTIM AG vom 5. Oktober 2017

„… Wie verbreitet man die Nachricht, dass ein Computersystem ein Loch hat? Manche sagen gar nicht, weil sie fürchten, wenn man den Leuten sagt, wie man Sprengstoff herstellt, basteln sie Bomben. …“ Clifford Stoll, 1989 im Nachwort zu seinem Buch „Kuckucksei“.

Im Buch "Kuckucksei beschreibt Stoll, wie Hacker in das Datennetz des Pentagon eingedrungen sind und wie er anhand eines Abrechnungsfehlers von 75 Cent für in Anspruch genommene, aber nicht bezahlte Rechenzeit auf deren Spur stieß. Inzwischen sind 28 Jahre vergangen, und wir haben uns daran gewöhnt, dass regelmäßig Sicherheitsupdates für Betriebssysteme und Anwendungs¬programme veröffentlicht werden, um neue Löcher zu schließen. Das macht deutlich, dass das Thema Datensicherheit nach wie vor aktuell ist und die Einbrecher ihren Verfolgern regelmäßig um eine Nasenlänge voraus sind.

Nun ist die SOPTIM AG als Angriffsziel nicht mit dem Pentagon zu vergleichen, und wir stehen auch keiner weltweit organisierten Community gegenüber. Darüber hinaus geht es im Rahmen von Blackout@fh_aachen nicht darum, Informationen zu stehlen oder andere kriminelle Aktionen durchzuführen, sondern um die Möglichkeit, gezielt Haustechnik zu manipulieren und zu zeigen, dass dies mit relativ einfachen Mitteln machbar sein könnte.

Die SOPTIM AG hat sich als Angriffsziel für studentische Hacker zur Verfügung gestellt, um auf das Thema Datensicherheit aufmerksam zu machen.

Wie bedenklich ist das eigentlich, wenn allerorten Smart-Home-Lösungen propagiert und in Betrieb genommen werden? Welche Mechanismen entwickeln wir, um möglichst schnell festzustellen, dass die Technik manipuliert wird? – Zugegeben: Jeder Einzelne stellt vermutlich kein lohnendes Ziel für einen Angreifer dar, aber wenn gleichzeitig eine große Zahl von Einzelsystemen betroffen sein sollte…

Unser Leben wird smart - aber wie sicher ist das?
„Awareness“ heißt das Stichwort, unter dem dieser Blog steht – Wir wollen herausfinden ob wir bereit sind, dem Risiko von Eindringlingen in unser Netzwerk mit geeigneten Gegenmaßnahmen zu begegnen, wenn wir schon nicht in der Lage sein sollten, den Angriff von vornherein zu verhindern.

Wir werden in den nächsten Tagen und Wochen über das, was geschieht, berichten und sind gespannt, welche Wege das studentische Team wählen wird, um am Ende unsere Haustechnik zu steuern und welche Erkenntnisse wir gemeinsam aus diesem Projekt gewinnen werden.

Hintergrundinfos Vol I: Die Vorgeschichte

Gewonnen!!! Hallte es im Februar 2017 durch die Hallen der FH Aachen. Die Hochschule hatte sich erfolgreich für die Aktion "Eine Uni - ein Buch" von der Klaus Tschira Stiftung und der Wochenzeitung DIE ZEIT beworben. Mit "Eine Uni – ein Buch" haben die Initiatoren deutsche Hochschulen dazu aufgerufen, sich für ein Buch zu entscheiden, das ein Semester lang Grundlage für Aktionen und Events ist. Das Ziel: möglichst viele Mitglieder der Hochschule über alle Hierarchiegrenzen hinweg ins Gespräch bringen und sie für ein gemeinsames Thema begeistern.

Das Bewerbungsvideo der FH Aachen:

Die FH Aachen hatte sich für „Blackout – Morgen ist es zu spät“ von Marc Elsberg entschieden und lud Hochschul-Angehörige, Unternehmen, Journalisten und alle Aachener ein:

"Lesen Sie diesen spannenden Techno-Thriller, und verfolgen Sie die katastrophalen Auswirkungen eines großflächigen, von Hackern verursachten Stromausfalls in Europa. Kommen Sie zu unseren Veranstaltungen, und tauchen Sie ein in Themen wie Energie und IT-Sicherheit. Highlight der Veranstaltungsreihe wird übrigens ein Hackerangriff auf die Stromversorgung eines Unternehmens in Aachen sein…"

Hintergrundinfos Vol II: Die Protagonisten des Hackerangriffs

Das Unternehmen: SOPTIM AG

"Energie ist unsere Leidenschaft! Mit dem Fokus „Digitalisierung“ entwickeln wir gemeinsam mit unseren Kunden innovative IT- Lösungen für die Zukunft – partnerschaftlich und von „Mensch-zu-Mensch“. Für uns ist Digitalisierung deutlich mehr als nur Technologie und deren Einsatz, denn wir halten das richtige Zusammenspiel von Business, Technologie und Kultur als essentiell für den Erfolg."
"SOPTIM ist Partner für innovative IT-Lösungen und Dienstleistungen in der Energiewirtschaft. Wir interpretieren uns als „Digital Transformer“, der seinen Kunden neue Geschäftsmodelle ermöglicht und somit entscheidende Wettbewerbsvorteile verschafft. Seit der Firmengründung 1971 ist SOPTIM in Aachen ansässig. 1991 wurde die Niederlassung Essen gegründet."

Die Hochschule: FH Aachen - University of Applied Sciences

Mit über 13.500 Studierenden, jährlich fast 2000 Absolventinnen und Absolventen, zehn Fachbereichen, über 70 Studiengängen, neun In- und drei An-Instituten sowie vier Kompetenzplattformen gehört die FH Aachen mit den beiden Standorten Aachen und Jülich zu den größten und wichtigsten Fachhochschulen Deutschlands.

Am Fachbereich Elektrotechnik und Informationstechnik lehrt Prof. Dr. Marko Schuba IT-Sicherheit und IT-Forensik mit dem Ziel, Unternehmen und Organisationen widerstandsfähiger gegen Cyberangriffe zu machen. Dazu bildet er auch sogenannte "ethische Hacker" aus, also Cybersicherheits-Experten, die genau wissen, wie die Angriffe von Cyberkriminellen funktionieren und deshalb in der Lage sind, geeignete Schutzmaßnahmen zu ergreifen. Dieses Wissen ist heißbegehrt und hilft Strafverfolgungsbehörden, Banken, Unternehmen und anderen Einrichtungen, ihre IT-Systeme sicherer zu machen. Im Rahmen ihres Bachelorstudiums können Informatik-Studierende an der FH Aachen nicht nur "ethische Hacker" werden, sondern IT-Sicherheit als ganzen Studien-Schwerpunkt wählen.

Credits:

Created with images by Free For Commercial Use (FFC) - "Hacker" • geralt - "hacker attack mask" • HypnoArt - "hacker cyber crime banner"; Gruppenfotos Hacker: FH Aachen/ René Heß; Fotos SOPTIM AG: SOPTIM AG

Report Abuse

If you feel that this video content violates the Adobe Terms of Use, you may report this content by filling out this quick form.

To report a Copyright Violation, please follow Section 17 in the Terms of Use.