Kennis is macht: de achtergrond van SCADA-aanvallen

  1. 18 aug 2015
  2. 0 reacties
Theo-Schutte

In 2010 bracht een aanval met de Stuxnet-worm op een Iraanse kerncentrale de kwetsbaarheid van industriële systemen onder de aandacht. Deze systemen, die bekend staan als Supervisory Control And Data Acquisition (SCADA), regelen de werking van fysieke, zware industriële toepassingen, zoals sluisdeuren en ventilatiesystemen. In tegenstelling tot traditionele computervirussen veroorzaken SCADA-aanvallen ook grote fysieke schade aan mensen en middelen. Door meer te weten over deze aanvallen, kan het gemakkelijker worden om een goede verdedigingsstrategie op te zetten.

De meeste grote criminele netwerken begonnen ooit als een baldadige jongensclub. In de film ‘Once upon a time in America’ is bijvoorbeeld te zien hoe een groep vrienden met criminele aanleg de weg aflegt van kinderen die kleine vergrijpen plegen naar volwassenen in de maffia. Zelfs de Amsterdamse Hells Angels begonnen ooit als de brommerclub Kreidler Ploeg Oost.

Eigenlijk geldt voor cybercriminaliteit hetzelfde. De eerste computervirussen werden op een zolderkamer geschreven door jongens, vaak niet meer dan pubers. Als nerd vielen zij in het sociale leven niet zo op, maar als hacker genoten zij opeens wereldwijde aandacht. Het gevolg waren verlammende computervirussen die velen zich nu nog herinneren: Melissa, Anna Kournikova, ILOVEYOU, Netsky en Bagle, om er maar een paar te noemen.

Inmiddels is het computervirus geen grapje meer. De virusschrijver is volwassen geworden en is vaak allang overgestapt van het puberale naar het criminele pad. Al snel ging het niet meer om het halen van de voorpagina’s, maar om het binnenhalen van zoveel mogelijk geld. Net zoals in alle criminele werelden, is de volgende stap het vergaren van macht. Dat betekent niet alleen geld of informatie stelen, maar dit gebruiken om terreur te zaaien.

Hoe gevaarlijk computervirussen ook zijn, meestal veroorzaken zij alleen immateriële schade. Identiteitsdiefstal en financiële verliezen zijn vreselijk, maar niet dodelijk. En dus niet angstaanjagend genoeg om macht te verwerven. Dat ligt anders met computersystemen voor industriële automatisering, want daarmee krijgen hackers de controle over fysieke apparatuur. En daarmee de macht.

SCADA regelt de besturing van fysieke, industriële apparaten. SCADA-systemen laten bijvoorbeeld de turbines draaien in krachtcentrales, olie en gas stromen door pijpleidingen en sluizen openen en sluiten. Een aanval op SCADA-systemen kan aanzienlijke fysieke schade veroorzaken en daarmee grote angst bij de bevolking. Dat maakt ze tot een uiterst aantrekkelijk doelwit voor hackers. Stel dat je de schuiven van de Oosterscheldekering open kon zetten tijdens een stormvloed, of je zet op de drukste reisdag van het jaar de airconditioning op Schiphol uit. Dat biedt kansen om een heel land in gijzeling te nemen. Over macht gesproken!

Ook bij aanvallen op SCADA-systemen ging het aanvankelijk om baldadigheid. In 2008 liet een 14-jarige Poolse scholier met een aangepaste afstandbediening de trams in Lodz ontsporen. Het leek hem leuk om ‘in het echt’ met treintjes te spelen. Er vielen gelukkig geen doden, maar wel twaalf gewonden.

Je zou dit nog als kwajongensstreek kunnen benoemen, maar de SCADA-aanvallers zijn inmiddels geen tieners meer. Dat bleek wel uit de aanval met de Stuxnet-worm op een kerncentrale in Iran. De aanvallers kregen met Stuxnet toegang tot de ultracentrifuges in de centrale en lieten de werking daarvan helemaal uit de hand lopen. Stuxnet kan ook systemen platleggen voor waterbeheer, chemische productie en de infrastructuur voor de energievoorziening. Dergelijke ingrepen kunnen in potentie levensbedreigend zijn.

Stuxnet is niet het eerste virus dat zich richt op SCADA. FortiGuard Labs, het onderzoeksbureau van Fortinet bracht de meest belangrijke aanvallen op SCADA-systemen in kaart, in drie categorieën:

  • Onbevestigde aanvallen

1982: De eerste SCADA-aanval heeft mogelijk al plaatsgevonden in 1982. Volgens een aantal documenten, het ‘Farewell Dossier’ genaamd, was de CIA betrokken bij de verkoop van 'aangepaste' producten en apparatuur aan de Sovjet Unie. Er werd een Trojaans Paard toegevoegd aan de apparaten die leidde tot een explosie in de trans-Siberische gasleiding. Dit is nooit officieel bevestigd en het Farewell Dossier beschrijft alleen de installatie van gebrekkige turbines, niet het ongeluk.

1999: Er waren meldingen van een aanval op het Russische oliebedrijf Gazprom, waar een Trojaans Paard geïnstalleerd zou zijn op de pijpleiding. De aanval onderbrak naar verluid de gasstroom gedurende enkele uren. Dit is echter nooit bevestigd door Gazprom.

  • Onbedoelde aanvallen

Verschillende SCADA-systemen werden geraakt door aanvallen die zich niet specifiek op deze systemen richtten, maar ze bij toeval troffen.

2003: De Davis-Besse kerncentrale en het internationale transportbedrijf CSX Corporation in de VS werden respectievelijk het slachtoffer van de Slammer- en Sobig-wormen. Slammer veroorzaakte een denial of service en vertraagde het netwerk, terwijl Sobig spam verstuurde via e-mail. Fysieke impact: Geen voor de Davis-Besse kerncentrale, hoewel Slammer een netwerk platlegde op een niet nader genoemde locatie. Het Sobig-virus infecteerde een computersysteem op het hoofdkantoor van CSX Corporation. Dit maakte signalering en het versturen van informatie onmogelijk en veroorzaakte vertragingen in het treinvervoer.

2004: Transportbedrijven zoals British Airways, Railcorp en Delta Airlines werden getroffen door de Sasser-worm. Deze misbruikt een lek in de buffer overflow om zichzelf te verspreiden naar andere kwetsbare systemen. Sommige agressieve varianten kunnen opstoppingen creëren in het netwerk. Fysieke impact: Treinen en vluchten waren vertraagd en werden in enkele gevallen geannuleerd.

2009: De Franse marine werd het slachtoffer van de Conficker-worm. Deze gebruikt een lek in Windows of raadt wachtwoorden van beheerders om zichzelf te installeren. De worm kon zich vervolgens verspreiden naar andere kwetsbare machines, zichzelf updaten en nog meer malware installeren. Fysieke impact: Onmogelijk om vluchtplannen te downloaden zodat men vliegtuigen aan de grond moest houden.

  • Bevestigde aanvallen

Dit zijn aanvallen die specifiek ontworpen zijn voor, en gericht zijn op SCADA systemen.

2009: Olie-, gas- en petrochemische bedrijven zoals Exxon, Shell en BP werden geraakt door het Night Dragonvirus, dat verspreid werd door middel van spearphishing. Het virus gaf hackers op afstand controle over de geïnfecteerde computers. Fysieke impact: Geen, hoewel de aanvallers naar verluid operationele blauwdrukken voor SCADA-systemen buit maakten en zelfs gegevens verzamelden.

2010: Stuxnet was een computerworm die spioneerde en industriële systemen herprogrammeerde in de Natanz kerncentrale in Iran. Dit virus onderschepte en veranderde gegevens van een Programmable Logic Controller (PLC) die de apparatuur aanstuurt. Fysieke impact: Vernietigde een vijfde van de ultracentrifuges in de centrale.

2014: De volgende twee virussen werden ‘in het wild’ gevonden in 2014, maar er zijn geen rapportages bekend van de organisaties die er het slachtoffer van werden. Havex werd gedistribueerd via geïnfiltreerde websites van leveranciers als een SCADA softwaredownload met een Trojaans Paard. Het zocht op het lokale netwerk naar servers die gegevens verzamelen van industriële apparatuur. Havex stuurde deze gegevens naar een ondersteuningsserver van de cybercriminelen. In dit geval was gegevensdiefstal en industriële spionage het doel van de hackers. Fysieke impact: Geen.

Blacken werd gevonden op een ondersteuningsserver van een bestaand botnet. Het richt zich op gebruikers van de SCADA-toepassing GE Cimplicity en installeert uitvoerbare bestanden op de home directory van de software. Enkele daarvan zijn bots en kunnen op afstand bestuurd worden. Blacken refereert ook aan de ontwerpbestanden van Cimplicity, maar het is vooralsnog onduidelijk wat het doel daarvan is. Fysieke impact: Nog geen gevallen bekend.

Tot slot meldt de Duitse rijksdienst Bundesamt für Sicherheit in der Informationstechnik (BSI) dat er in 2014 een gerichte aanval plaatsvond op het computernetwerk van een Duitse staalfabriek die leidde tot aanzienlijke schade. De aanvallers gebruikten spearphishing e-mails en geavanceerde social engineering om via het kantoornetwerk van de staalfabriek toegang te krijgen tot het productienetwerk. Het rapport beschrijft de technische vaardigheid van de aanvallers als ‘zeer gevorderd’, met niet alleen expertise in traditionele IT-beveiliging, maar ook gedetailleerde technische kennis van Industrial Control Systems (ICS) en de gebruikte productieprocessen. Fysieke impact: Hoewel de details over de malware vaag zijn, stelt het rapport dat de aanval leidde tot het haperen van individuele beheerscomponenten. Dat had tot gevolg dat de hoogoven ‘ongecontroleerd’ afsloeg en door onduidelijke redenen niet meer gebruikt kon worden, wat een aanzienlijke schade veroorzaakte.

Op basis van de hierboven beschreven incidenten zou je kunnen concluderen dat het niet zo’n vaart loopt met de SCADA-aanvallen. Dat komt waarschijnlijk doordat er verregaande technische vaardigheden voor nodig zijn, evenals kennis van de infrastructuur en processen waarop zij zich richten. Daarnaast is ook flink wat geld nodig om het allemaal te organiseren en daar ontbreekt het cybercriminelen vaak aan. Maar gezien de bekende ontwikkeling van (cyber)criminaliteit van een zucht naar aandacht, geld en uiteindelijk naar macht, moeten we er niet te licht over denken. Ik verwacht dat er steeds meer van dergelijke vernietigende aanvallen gaan komen. Dat vraagt om een bedrijf met de knowhow en het team om de aanvallen af te weren. Maar het vraagt vooral om gezond verstand bij eindgebruikers. Want, zoals een van de architecten van Stuxnet onlangs zei: “Het blijkt dat er altijd wel een idioot is die geen acht slaat op de USB-stick in zijn hand.”

Theo Schutte is country manager Fortinet Nederland