Mit ChatGPT lassen sich überzeugende und personalisierte Phishing-E-Mails verfassen. Dies ist für die Schifffahrt von Bedeutung, da Phishing-E-Mails sehr oft den Beginn störender, weit verbreiteter Angriffe wie Ransomware-Angriffe darstellen. In den letzten Jahren kam es bereits zu einigen Fällen von Ransomware-Angriffen auf Schiffe. Eine davon ereignete sich im Jahr 2020, als zwei Schiffe über den Trojaner AZORult mit der Ransomware Hermes 2.1 infiziert wurden. Die Infektion erfolgte als Makro-fähiges Word-Dokument im Anhang einer E-Mail und betraf mehrere Arbeitsstationen in den Verwaltungsnetzwerken.
Wenn ein Benutzer auf einen schädlichen Link klickt, wird er wahrscheinlich auf eine Website weitergeleitet, die seinen Computer mit Malware infiziert oder seine Anmeldeinformationen an Angreifer weitergibt. Der Angreifer kann das IT-Segment an Bord des Schiffes infizieren und darauf zugreifen. Das IT-Segment umfasst den Internetzugang der Besatzung und der Passagiere (Ethernet- und Wi-Fi-Verbindungen) sowie die Netzwerke von Unterhaltungssystemen. Von dort aus können sie in die OT-Umgebung (Operational Technology) des Schiffes wechseln. Hier ist ein Beispiel für eine von ChatGPT erstellte Phishing-E-Mail, die gerne einen bösartigen Link enthält:
ChatGPT kann Angreifern auch dabei helfen, bösartigen Code zu schreiben, der ihnen hilft, das OT-Netzwerk zu kontrollieren, beispielsweise durch einen Ransomware-Angriff. Das Schreiben von Code für maritime Protokolle ist in der Regel sehr kompliziert, wodurch sich die Anzahl potenzieller Angreiferprofile erheblich erhöht (https://techcrunch.com/2023/01/11/chatgpt-cybersecurity-threat/?guccounter=1), insbesondere diejenigen mit geringeren Computerkenntnissen. Auch in diesem Beispiel verpflichtet ChaptGPT:
Dies ist besonders besorgniserregend, da die Netzwerktrennung an Bord eines Schiffes eine Herausforderung darstellt und oft aus Gründen der Benutzerfreundlichkeit nicht funktioniert. Dennoch ist es von entscheidender Bedeutung für den Schutz der OT an Bord von Schiffen vor weniger vertrauenswürdigen IT-Netzwerken, in denen sich Bedrohungen relativ leicht verbreiten. Beispiele für Schiffs-OT (https://fundamentalsfirst.co.uk/cyber-security-solutions/ot-cyber-security/maritime/) umfassen das automatische Identifikationssystem, das die Identifikationsdaten des Schiffes, die Ladung, die aktuelle Position und den aktuellen Kurs sendet, sowie das Container-Tracking-System, mit dem der Inhalt und die Bewegung von Containern mithilfe von GPS verfolgt werden.
OT- und IT-Netzwerke werden typischerweise auf eine von vier Arten konfiguriert: Flat, Firewalls, Host und Remote Access Server. Die einfache Verbindung zwischen IT- und OT-Assets variiert je nach Ansatz. Ein flaches Netzwerk bietet direkten Zugriff zwischen IT- und OT-Ressourcen, wobei sowohl die Verbindung zur OT als auch der Missbrauch unsicherer Protokolle und Dienste aufgrund des fehlenden Schutzes trivial sind. Im Gegensatz dazu bietet ein Remote Access Server-Netzwerk eine getrennte OT-Umgebung unter Verwendung eines Remote Desktop Protocol (RDP). Ein Firewall-Netzwerk ist so konfiguriert, dass es einen gewissen Datenverkehr zulässt, beispielsweise wenn ein Konfigurationstool Zugriff auf ein Protokoll wie Modbus benötigt. Allerdings können Angreifer auch in diesem Fall die OT-Umgebung angreifen, da Firewall-Regeln oft zu freizügig konfiguriert sind, indem sie beispielsweise die gesamte Kommunikation zwischen zwei IP-Adressen zulassen.
Durch die Installation eines Remote Access Service (RAS) in einer DMZ (Subnetz) zwischen den IT- und OT-Netzwerken kann neben getrennten IT- und OT-Umgebungen weiterhin ein kontrollierter Fernzugriff bereitgestellt werden. Ein RAS ist eine Workstation innerhalb der OT-Umgebung, von der aus ein remote verbundener Benutzer Verwaltungs- oder Betriebsfunktionen ausführen kann, wenn er über RDP für den Zugriff auf OT-Komponenten verbunden ist. Mit der RDP-Verbindung kann die IT-seitige Firewall so konfiguriert werden, dass sie nur eingehenden Zugriff über den zugelassenen Protokollport (z. B. RDP) und nur auf die Jumpbox zulässt.
Diese Art von Angriffen wird durch den Einsatz von ChatGPT für eine Vielzahl von Angreifern zugänglicher. Seine Rolle als Kraftmultiplikator wird umso wichtiger, je mehr Angreifer sich auf seine hochentwickelten Funktionen verlassen, um ihre Ziele zu erreichen, wodurch Schiffe der Gefahr weiterer Cyber-Vorfälle ausgesetzt werden. Daher werden Maßnahmen zur Cybersicherheit, einschließlich Mitarbeiterschulungen und Sensibilisierungskampagnen für Phishing-E-Mails, immer wichtiger. Quelle: Von Jessie Hamill-Stewart, Dmitry Mikhaylov, Andrew Sallay, Reperion