Red Teaming: Eindringen in der wirklichen Welt
Mit Hand und Fuß
Der fünfte Artikel der Serie zu „Red Team Assessments“ beschreibt das Thema physisches Eindringen in Gebäude und gesicherte Bereiche. Von den Analysten verlangt das, ihre gewohnte Komfortzone am Schreibtisch zu verlassen und sich die Hände schmutzig zu machen.
Der erste Artikel dieser Serie [1] skizzierte bereits einen Fall, bei dem es uns nachts gelang, über schlecht gesicherte Tiefgaragen Zugang zu wichtigen Gebäudeteilen einer kritischen Infrastruktur zu erlangen. In solchen Fällen verwendet man häufig auch Werkzeuge wie Lockpicking-Sets und geklonte RFID-Karten, um verschlossene Türen zu öffnen (Links zu den Werkzeugen und alle weiteren Links des Artikels sind unter ix.de/ix1810080 zu finden).
In dem Fall, der heute beschrieben werden soll, bevorzugten wir Social Engineering als Werkzeug der Wahl, um uns physischen Zugang zu einem gut gesicherten Bereich in einem der Gebäude unseres Kunden zu verschaffen. Bei dem Kunden handelt es sich um ein internationales Unternehmen aus einem speziellen Bereich der industriellen Fertigung.
Die gesamte Aktion erforderte ein hohes Maß an Planung und Vorbereitung – weshalb wir uns wie immer zu Beginn möglichst viele taktisch relevante Informationen beschafften, um daraus die effektivsten Angriffspfade zu konstruieren. Eine Idee war, sich als Servicetechniker auszugeben, der die Wartung einer zentralen Maschine vornehmen muss. Diese stand im gut gesicherten Reinraum zur maschinellen Fertigung spezieller Komponenten und würde einem Angreifer nach erfolgreicher Kompromittierung ermöglichen, die gesamte Produktion nachhaltig und lange Zeit unbemerkt zu stören oder vollständig lahmzulegen.
Im schlimmsten Fall droht der Ruin
So etwas ist beispielsweise durch die Veränderung von Bohrlöchern im Millimeterbereich oder durch die Zerstörung extrem teurer Spezialmaschinen möglich. Deren Austausch kann viele Monate dauern, ohne dass währenddessen weiter produziert werden kann. Im schlimmsten Fall bedeutet das für ein Unternehmen den finanziellen Ruin oder eine anhaltende Rufschädigung.
Nur zwei Personen im Unternehmen hatten Zugang zu dem gut gesicherten Bereich, in dem die Maschine stand. Um in diesen Raum zu gelangen, musste man zuvor mehrere zugangsgeschützte Bereiche und eine Schleuse passieren, ganz abgesehen von den Überwachungskameras und dem Alarmsystem. Der beste Weg dorthinein war also ein autorisierter Zugang per Einladung durch das Unternehmen selbst.