Hacker versuchte Wasserversorgung einer Stadt in Florida zu vergiften

[English]Ein Alptraum, dass Hacker die Wasserversorgung einer Stadt per Internet manipulieren und das Trinkwasser ungenießbar machen oder sogar zu vergiften, ist in den USA erneut wahr geworden. Eine Hacker-Operation, bei der ein Eindringling über Minuten Ventile der Wasseraufbereitungsanlage öffneten, um die Natriumhydroxid-Konzentration im Wasser zu erhöhen, wurde gerade öffentlich. Am Ende des Tages war es Teamviewer der den Zugriff auf das Steuerungssystem ermöglichte. Ergänzung: Das Passwort für den Remote-Zugriff galt wohl für alle Rechner und wurde unter Angestellten herum gereicht. Möglicherweise war es ein verärgerter Mitarbeiter. Ergänzung 2: Es war wohl kein Hack.


Anzeige

Am Montag haben Offizielle von Pinellas County in Florida den Vorfall, dass sich ein nicht identifizierter Hacker aus der Ferne Zugang zum Steuersystem der Wasseraufbereitungssystem der Stadt Oldsmar verschafft hat, bekannt gegeben (siehe dieses Video). Dem Eindringlich ist es gelungen, diverse Einstellungen der Steuerungsanlage zu verändern. Darunter befand sich auch ein Ventil, dass geöffnet wurde, um die Menge an Natriumhydroxid in der Wasserversorgung drastisch zu erhöhen.

Natronlauge im Wasser

Natriumhydroxid (NaOH, Ätznatron) löst sich sehr gut in Wasser und macht dieses alkalisch – das wird dann zu Natriumlauge und ist ungenießbar. Abflussreiniger enthalten NaOK und Natronlauge wird zur Desinfektion von Behältern und Rohrleitungen verwendet, führt In höheren Konzentrationen aber längerfristig zu Schäden in Anlagenteilen wie Rohren. Wenn ich es richtig mitbekommen habe, verwendet man NaOH auch zur PH-Wert-Anhebung des Wassers. Zudem kann es zum Binden von Schwermetallen eingesetzt werden.

Hackerzugriff auf die Steuerung

Während einer Pressekonferenz sagte Pinellas County Sheriff Bob Gualtieri, dass ein Anlagenfahrer die Änderung sah und sie schnell rückgängig machte. Der Hacker-Angriff stellte aber eine ernsthafte Bedrohung für die Wasserversorgung der Stadt dar. Laut Gualtieri änderte der Hacker die Dosierung der Natriumhydroxid-Konzentration von etwa hundert Teile pro Million auf 11.100 Teile pro Million. Dies wurde nicht einmal, sondern zweimal versucht.

Die Seite vice berichtet hier, dass der Bediener auf die Änderung aufmerksam wurde und diese wohl zwei Mal rückgängig machte. Ich bin davon ausgegangen, dass diese Änderungen einen Alarm im Steuerungssystem auslöste, wodurch  der Bediener aufmerksam wurde. Bleeping Computer berichtet aber hier, dass ein Anlagenfahrer sah, wie jemand die Kontrolle über die Maus übernahm und sie benutzte, um Änderungen an den Einstellungen der Ventile vorzunehmen.

Der Eindringling verbrachte zwischen drei und fünf Minuten im System und änderte den Natriumhydroxidpegel. Da die Anlagenbetreiber das mitbekamen, wurde die Änderung sofort rückgängig gemacht. Unklar ist mir in diesem Zusammenhang, wieso die Steuerung der betreffenden Ventile per Internet erreichbar war, gehört die Wasserversorgung doch zur kritischen Infrastruktur. Beachtet aber den letzten Absatz: Irgend einer hat Teamviewer (möglicherweise für die Fernwartung) auf dem Steuerungssystem und aktiviert belassen.

Die Betreiber versicherten, dass die Bevölkerung von Oldsmar zu keinem Zeitpunkt gefährdet gewesen sei, allerdings ist man jetzt aufgewacht und hat den Fernzugriff auf die Anlage abgeschaltet. Ein gewisser Lerneffekt hat sich also schon eingestellt. Und meine Vermutung, dass der PH-Wert des Wassers überwacht wird, und ein Alarm ausgelöst wird, wenn Toleranzen überschritten wurden, hat sich auch bestätigt. Eric Seidel, der Bürgermeister der Stadt, sagte, dass das Wasseraufbereitungssystem von Oldsmar mit Redundanzen eingerichtet ist, die einen Alarm ausgelöst hätten, wenn die chemischen Werte des Wassers gefährliche Werte erreicht hätten.

Teamviewer macht's einfach

So ein richtig ausgefeiltes Hacking scheint ein aber nicht gewesen zu sein, sondern mal wieder ein Beispiel für Pleiten, Pech und Pannen, bei denen die Verantwortlichen nichts im Griff haben. Dazu gibt es gibt noch interessante Informationen: Felicia Donnelly, die stellvertretende Stadtmanagerin in Oldsmar, Florida, schrieb in einer E-Mail an Motherboard, dass das System, auf das der Hacker zugriff, selbstverständlich ein Passwort erforderte, um ferngesteuert zu werden. Aber dann drang über Reuters die Information an die Öffentlichkeit, dass der Remote-Zugriff per TeamViewer erfolgt ist. Jessica Mackesy vom Pinellas County Sheriff's Office bestätigte Motherboard auf Anfrage in einer E-Mail mit, dass TeamViewer als Fernzugriffssoftware verwendete wurde. Offenbar konnte der Hacker über Teamviewer auf die Computer der Steuerungsanlage zugreifen.

Ergänzung: Inzwischen wurde von US-Behörden bekannt, dass ein 32-Bit-Windows 7-System mit einem installierten Teamviewer betrieben wurde und mit einem SCADA-System verbunden war. Außerdem hatten alle Computer das gleiche Kennwort für den Fernzugriff (per Teamviewer). Die Behörde schreibt, dass die Rechner direkt mit dem Internet verbunden gewesen seinen, ohne dass ein Firewall-Schutz installiert war. Hier ist das Ganze wenig transparent, da Windows 7 eine Firewall besitzt. Möglicherweise war die Firewall deaktiviert. Also führte in diesem Fall Leichtsinnigkeit zum "Hack". Bei Golem lese ich hier, dass ein verärgerter Mitarbeiter dahinter stecken könnte.


Anzeige

Es war woh kein Hack

Ergänzung 2 vpn April 2023: Aussagen des FBI und des ehemaligen Stadtdirektors von Oldsmar deuten darauf hin, dass es sich bei den Vorfällen in der Anlage möglicherweise nicht um das Werk eines externen Hackers handelt. Auch zwei Jahre nach dem Vorfall gibt es immer noch kaum Hinweise darauf, was genau in der Anlage passiert ist, wie ein Hacker Zugang zu den internen Systemen erlangt haben könnte oder wer den angeblichen Angriff überhaupt durchgeführt hat.

Hack Florida

Äußerungen des ehemaligen Stadtmanagers von Oldsmar, Al Braithwaite besagen, dass es sich bei dem Vorfall um ein "Nicht-Ereignis" handelte, das von einem übereifrigen Mitarbeiter ausgelöst wurde. Das Ganze ist in diesem Artikel dargestellt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Hacker versuchte Wasserversorgung einer Stadt in Florida zu vergiften

  1. Anonymous sagt:

    War bestimmt gut gemeint als Corona-Desinfektions-Therapie nach Prof. Dr. Trump

    • Günter Born sagt:

      Abseits des wohl nicht ernst gemeinten Kommentars:
      – Der Fall ist hier im Blog, um den Leuten draußen zu zeigen, wo es überall hakt (doof ist nur, dass die, die es nötig hätten, das nicht lesen).
      – Ich hatte es ja angedeutet – in vernünftig geplanten verfahrenstechnischen Anlagen gibt es eine Alarmierung, wenn Parameter die Grenzwerte überschreiten. Solange die funktionieren und nicht abschaltbar sind bzw. abgeschaltet werden, ist keine unmittelbare Gefahr gegeben.

  2. Stevenson sagt:

    Städte haftbar machen für schlechte IT. Die haben einfach unfähiges Personal eingestellt, würde nichtmal den Admin bestrafen sondern die Personaler, die ihn eingestellt haben. War bestimmt der Sohn von Irgendwem. Nepotismus^10. Wer TeamViewer statt VPN+Remote oder SSH+X11 nutzt hat den Schuss nicht gehört. Packt gute Crypto um euren Zugang. Sichert den PubKey mit einem starken Passwort gegen Verlust.

    Oder hängt den Schrott gar nicht erst ans Netz!
    Amen.

  3. Gast0902 sagt:

    Ich weiß aus sehr sicherer Quelle dass von Dienstleistern, die entsprechende Anlagen einrichten/warten, gerne Teamviewer auf dem Host als Dienst eingerichtet wird, der dann auch ständig aktiv ist und auf Verbindung wartet… Mich wundert das also nicht wirklich. Gilt sicherlich nicht für alle, aber einer ist schon einer zuviel.

    • Peter sagt:

      >> … gerne Teamviewer auf dem Host als Dienst eingerichtet wird, der dann auch ständig aktiv ist …

      Die Verbindung "dauer-geöffnet" lassen ist natürlich heftig, weil mir das Konzept "Ziel-Host muss Id und PIN auf einem anderen Kanal wie z.B. Telefon mitteilen" eigentlich plausibel und sicher erscheint.

  4. Lukas sagt:

    Ja und wie ist er an die ID und das Passwort für Teamviewer gekommen?

    • Günter Born sagt:

      Im Extremfall war eine alte Teamviewer-Version da drauf – oder es gab einen anderen Weg, an die Zugangsdaten zu gelangen.

    • GPBurth sagt:

      Laut ArsTechnica:
      "According to an advisory from the state of Massachusetts, employees with the Oldsmar facility used a computer running Windows 7 to remotely access plant controls known as a SCADA—short for "supervisory control and data acquisition"—system. What's more, the computer had no firewall installed and used a password that was shared among employees for remotely logging into city systems with the TeamViewer application"
      Vermutlich wurde das Passwort auch nie geändert, das wussten dann also alle Mirabeiter der letzten X Jahre.

  5. Gast0902 sagt:

    Das Problem sind hier in vielen Fällen die Dienstleister, die das ganze einrichten. In dem Geschäft existiert der Begriff "IT-Sicherheit" erst seit gefühlt 3-4 Jahren… Da klappen dir die Fußnägel hoch wenn du hörst was da so eingerichtet wird…

Schreibe einen Kommentar zu GPBurth Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.