Information hiding in cyber-physical systems : selected covert channels and threats at the example of industrial control systems

Abstract

In the last couple of years, two concerning trends in cyber security are observable: On the one hand, targeted attacks on Operational Technology (OT), such as Indus- trial Control Systems (ICS) seem on the rise, for example in critical infrastructures like power generation or water supply. On the other hand, current malware gen- erations seem to increasingly incorporate stealth mechanisms using techniques of Information Hiding (IH), e.g. Steganography and Covert Channels. The question arises what impact these two trends would employ when combined - how can Infor- mation Hiding-based principles and techniques be applied to the specifics of such Cyber-Physical Systems? What are plausible carriers and how would exemplary covert channels perform in terms of stealthiness and capacity or bandwidth? What are corresponding threat scenarios and what challenges can be encountered for detec- tion and mitigation of this threat? This thesis aims to shrink this research gap and answer these open questions in a selected and exemplary manner. To answer these questions, at first, a plausible reference architecture for Industrial Control Systems is proposed, which allows for a systematic analysis of potential covert communicators, plausible carriers, covert channels, and the discussion of resulting threat scenar- ios and potential mitigations. Potential covert sender, -receiver, and corresponding carriers are discussed in the context of Industrial Control Systems. Based on the State-of-the-Art, own investigations and publications a classification for Information Hiding methods is proposed, allowing for a systematic description of the variety of methods applicable to the specifics of Cyber-Physical Systems (CPS). In the course of three selected, exemplary case studies, a detailed investigation of three distinctive types of carrier (Automation Protocols, Process Data, and Infrastructure Protocols) is performed with a detailed description and analysis of plausible covert channels, their performance, and resulting threat scenarios and mitigation. Based on these case studies, lessons learned are discussed covering insights on plausibility, challeng- ing features of CPS, techniques for cover object selection, bandwidth modulation, and the persistence and location of cover objects. Corresponding threat scenarios are discussed and the adversarial use of IH-methods is classified into covert lateral and covert vertical communication at the example of defense-in-depth architectures of ICS. An extended mitigation and countermeasure model is proposed and potential design principles for covert channel-robust architectures are described. Methods of detection and mitigation are reflected, based on the insights from the investigated covert channels in case studies.This thesis is partially based on results of the research projects ”STEALTH Scenar- ios” (final public report [LAD23]) and ”SMARTEST2” (final public report [ALD23]), funded by the German Federal Ministry for the Environment, Nature Conservation, Nuclear Safety and Consumer Protection, BMUV, Grant No. 1501589A (STEALTH) and 1501600B (SMARTEST2).

In den letzten Jahren sind zwei besorgniserregende Trends in der Cybersicherheit zu beobachten: Zum einen scheinen gezielte Angriffe auf Operational Technology (OT), wie Industrial Control Systems (ICS), zuzunehmen, beispielsweise in kri- tischen Infrastrukturen wie der Energieerzeugung oder Wasserversorgung. Ander- erseits scheinen aktuelle Malware-Generationen zunehmend Stealth-Mechanismen mit Techniken des Information Hiding (IH), z.B. Steganographie und Covert Chan- nels, zu verwenden. Es stellt sich die Frage, welche Auswirkungen diese beiden Trends haben, wenn sie kombiniert werden - wie k¨onnen auf Information Hid- ing basierende Prinzipien und Techniken auf die Besonderheiten solcher Cyber- Physical Systems (CPS) angewendet werden? Was sind plausible Tr¨agermedien und wie w¨urden beispielhafte sich verdeckte Kan¨ale in Bezug auf Verdecktheit, Kapaz- it¨at und Bandbreite verhalten? Um diese Fragen zu beantworten, wird zun¨achst eine plausible Referenzarchitektur f¨ur industrielle Steuerungssysteme vorgeschla- gen, die eine systematische Analyse von potentiellen verdeckten Kommunikatoren, plausiblen Tr¨agermedien und verdeckten Kan¨alen sowie die Diskussion von daraus resultierenden Bedrohungsszenarien und m¨oglichen Gegenmaßnahmen erm¨oglicht. Basierend auf dem Stand der Technik, eigenen Untersuchungen und Ver¨offentlichun- gen wird eine Klassifizierung f¨ur Information Hiding Methoden vorgeschlagen, die eine systematische Beschreibung der Methodenvielfalt f¨ur die Spezifika von Cyber- Physical Systems erm¨oglicht. Anhand dreier ausgew¨ahlter, exemplarischer Fallstu- dien erfolgt eine detaillierte Untersuchung von drei unterschiedlichen Tr¨agertypen (Automatisierungsprotokolle, Prozessdaten und Infrastrukturprotokolle) mit einer ausf¨uhrlichen Beschreibung und Analyse plausibler verdeckter Kan¨ale, ihrer Leis- tungsf¨ahigkeit und daraus resultierender Bedrohungsszenarien und -abwehr. Auf der Grundlage dieser Fallstudien werden Erkenntnisse ¨uber Plausibilit¨at, beson- dere Merkmale von CPS, Techniken zur Auswahl von Cover Objeketen, Band- breitenmodulierung sowie die Persistenz und Lokalisierung von Cover Objekten diskutiert. Entsprechende Bedrohungsszenarien werden diskutiert und die Nutzung von IH-Methoden in verdeckte laterale und verdeckte vertikale Kommunikation am Beispiel von Defense-in-Depth-Architekturen von ICS klassifiziert. Es wird ein er- weitertes Gegenmaßnahmen-Modell vorgestellt und m¨ogliche Designprinzipien f¨ur Covert-Channel robuste Architekturen beschrieben. Methoden zur Entdeckung und Abwehr werden auf der Grundlage der Erkenntnisse aus den untersuchten verdeckten Kan¨alen in den Fallstudien reflektiert.Diese Arbeit basiert zum Teil auf Ergebnissen der Forschungsprojekte ”STEALTH Scenarios”( ¨Offentlicher Endbericht [LAD23]) und ”SMARTEST2”( ¨Offentlicher End- bericht [ALD23]), die vom Bundesministerium f¨ur Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz unter den F¨orderkennzeichen 1501589A (STEALTH) und 1501600B (SMARTEST2) gef¨ordert wurden.