image

Gerichte hackeraanval op zuivelcoöperatie

maandag 19 juli 2010, 15:13 door Redactie, 12 reacties

Aanvallers hebben geprobeerd het netwerk van een bekende Nederlandse zuivelcoöperatie te infiltreren, zo laat anti-virusbedrijf Norman tegenover Security.nl weten. Via een network protection appliance werd een gerichte aanval ontdekt. Bij het updaten van een systeem dat de zuivelcoöperatie voor het beheer van de SCADA-systemen gebruikte, werd malware ontdekt. De firmware die het bedrijf wilde installeren, bleek een aangepaste versie van de Conficker worm te bevatten. Conficker verspreidt zich normaliter via een beveiligingslek in de Windows Server Service, USB-sticks en gedeelde netwerkschijven. In dit geval was de firmware al bij de leverancier aangepast. Iets wat eerder ook bij muisfabrikant Razer gebeurde.

De zuivelcoöperatie was bezig met het verkrijgen van de ISA-99 certificering, die over de beveiliging van systemen binnen productieomgevingen gaat. Deze SCADA-systemen regelen het aansturen van bijvoorbeeld kleppen en vervullen een essentiële taak binnen belangrijke infrastructuur. "De SCADA-laag is heel tijdkritisch, het gaat erom dat kleppen op het juiste moment worden aangestuurd en productie continu kan doorlopen", zegt Michael Theuerzeit van Norman.

Virusuitbraak
Als je binnen zo'n omgeving een virusuitbraak krijgt ligt je productie plat, sluiters gaan niet op tijd open of dicht, waardoor een gevaarlijke situatie op de werkvloer ontstaat of waar de productie helemaal plat komt te liggen. Dat kost zeer veel geld." Normale virusscanners zijn dan ook geen oplossing, merkt Theuerzeit op.

Zelfs een lichte virusscanner is geen ideale oplossing, aangezien false positives altijd voorkomen. Op de draad scannen verdient daarom de voorkeur. Leveranciers van SCADA-software garanderen alleen de werking van het systeem als hun software als enige is geïnstalleerd en raden dan ook het gebruik van anti-virus software af.

Internet
Als het om SCADA-systemen gaat, zou je verwachten dat die niet op het internet zijn aangesloten. "Het is een natuurlijke ontwikkeling van het productieproces dat dit soort systemen toch vanaf het web bereikbaar zijn", zegt Theuerzeit. Vroeger werden nog speciale bussen gebruikt om data over te sturen, maar tegenwoordig zijn er allerlei koppelingen met ERP-systemen. "Waarbij de receptuur vanuit de kantooromgeving binnen de productieomgeving aangestuurd wordt. Daarnaast kunnen bedrijven nu vanuit het kantoor monitoren wat er op de werkvloer gebeurt."

Bedrijven willen steeds meer grip op hun productieproces hebben, vandaar ook de koppeling met de kantooromgeving. Maar die is verbonden met het internet, wat de nodige risico's met zich meebrengt. Een aanvaller zou bijvoorbeeld via een kantoorcomputer de kleppen kunnen bedienen. Daarnaast zijn het volgens Theuerzeit niet alleen de kantoorcomputers die Windows draaien, ook bij SCADA-systemen is dit het geval. "Die zijn ook zelf kwetsbaar." Als een SCADA-systeem op een verkeerd moment uitvalt, kan er een klep open blijven staan waardoor stoom uit een pijp blijft lopen of in het geval van de zuivelcoöperatie dat er melk blijft stromen of dat de toevoer van flessen stagneert.

Conficker
Aanvallers proberen wel degelijk dit soort systemen te infecteren, zoals bij de zuivelcoöperatie. "De eerste virussen zijn al tegengehouden", zegt Theuerzeit. Wat betreft de besmette firmware die werd onderschept, had dit voor problemen binnen de productieomgeving kunnen zorgen. De zuivelcoöperatie, die niet met naam genoemd wil worden, informeerde na de aanval Norman.

De virusbestrijder kan normaal niet zien wat de neergezette appliciances tegenhouden, maar kon in dit geval bevestigen dat het een aangepaste Conficker worm betrof. Wat betreft de motieven kan het gaan om concurrentie die gevoelige gegevens wil stelen of bewust systemen probeerde plat te leggen.

Reacties (12)
19-07-2010, 15:34 door Anoniem
Een BIOS update met een virus. Gewoon een virus bij een bedrijf dus....
Weinig nieuwswaarde, meer reklame. Iedereen moet wat verdienen ;-)

Wel knap dat norman detectie werkte, normaal vindt norman bar weinig.
19-07-2010, 16:13 door Anoniem
Wat zou het doel zijn van het infecteren van de klep besturing van een zuivel verwerkend bedrijf?

Ik kan niets bedenken behalve dat de concurentie er iets mee zou opschieten..
19-07-2010, 17:27 door Anoniem
Toch jammer als het bedrijf zijn naam niet wil noemen dat je partner het uitgebreid op hun site zetten:

http://www.norman.com/about_norman/customer_cases/84430/nl
19-07-2010, 19:32 door spatieman
dit pakje melk is met een virus scanner gescant worden, en OK bevonden.
maar eh, behoren die systemen eigenlijk liever GEEN windows te draaien..
19-07-2010, 19:36 door [Account Verwijderd]
[Verwijderd]
19-07-2010, 21:18 door Anoniem
Is er specifiek iets waarom dit een targeted attack zou zijn op een zuivelbedrijf?

Het feit dat specifiek bedrijf een driver download is niet zo heel erg voorspelbaar. Je zou wel de aanval op de driverfabrikant een targeted attack kunnen noemen.
20-07-2010, 00:28 door [Account Verwijderd]
[Verwijderd]
20-07-2010, 06:40 door Ilja. _V V
Door Peter V: Ach ja...ze hebben een virus ontdekt, maar een virusscanner wordt niet gebruikt....

Wordt dat niet een contradictio in terminis genoemd?

Virusscanner is een hulpmiddel, maar niet de enige om virusactiviteit te detecteren. Dictio in terminis dus ;-)
Door NielsT: Een aangepaste conficker voor een gerichte aanval op SCADA spul??? Lijkt me niet de meest logische optie
Logica is te volgen. Een onlogische aanval daarintegen kan onverwacht succesvol zijn. Zie willekeurig persoon achter toetsenbord. ;-)
Ik weet weinig van SCADA-systemen, behalve dat het een oervorm van besturing van meet- & regel-techniek door computers is. Daar valt bv. niet alleen een lift, maar ook een kerncentrale onder, of een melkfabriek die babyvoeding produceert. Stof tot nadenken. Logisch of onlogisch...
20-07-2010, 08:10 door Anoniem
IK begrijp dat men dat soort processen niet wil laten verstoren door virusscanners je moet er niet aan denken dat ik een kerncentrale een rod te laat naar beneden of omhoog gaat door de scada software.
Maar daarom is het ook niet goed dat men netwerken zonder na denken aan elkaar knoopt.
Het was beter geweest als men een proxy had neer gezet die inline al het netwerk verkeer scant.
Of nog beter twee van verschillende fabrikanten dan weet je zeker dat het verkeer clean is wat de scada omgeving binnen komt.
En dan ook toestemming van maar een paar systemen toestaan naar een aantal scada servers.
20-07-2010, 09:01 door Black Box
[admin] Dit artikel is niet overgenomen uit de eerder genoemde case study. Het vermelde incident staat hier geheel los van en er zijn ook geen details achterwege gehouden zoals gesuggereerd. [/admin]
20-07-2010, 10:23 door Anoniem
Waaruit blijkt dat er sprake zou zijn van een _gerichte aanval_ ?

Bij procesomgevingen levert de fabrikant vaak de volledige omgeving, naast (kleine) embedded doosjes ook management terminals. Die laatste kunnen zeker een volledig OS draaien (ook windows dus), het zijn volledige werkstations, al dan niet in de vorm van industrieele pc's.
De support overeenkomsten willen nog wel eens eisen dat er niets veranderd wordt door de klant. Geen andere IP adressen, geen virusscanners/management agents/of de proces-software installeren op het klant-eigen OS image e.d.

Erg vervelend, en dan krijg je van die lapmiddelen om op het netwerk dingen te doen die beter (of ook) op de host gedaan zouden moeten zijn.

Firmware kan hier dus evengoed slaan op zo'n management station, je hoeft niet meteen aan een 16KB 68000 bootloader te denken.
En zo'n management station kan dan best besmet zijn met een worm, eventueel al bij de leverancier.

Maar waarom "systeem met voorgeinstalleerde software was besmet met worm" nu een gerichte aanval heet ?
20-07-2010, 13:57 door Anoniem
Zo bijzonder is dit nieuws niet. Puur marketing om de bedrijven klaar te krijgen voor een investering in de beveiliging van SCADA omgevingen. Het is niet zo heel gek dat deze omgevingen in het verleden niet beveiligd waren want daar was nooit echt een noodzaak voor (volgende de risico analyse).

Wat er nu gebeurt is dat veel van deze componenten aan andere netwerken worden gekoppeld waardoor er ineens hele andere dreigingen op de proppen komen. Vergelijk SCADA eens met de Windows 95/98 machines die nog steeds in bijvoorbeeld ziekenhuizen in gebruik zijn (rontgen foto's). Zolang deze stand-alone of afgezonderd zijn is er niet heel veel aan de hand, maar zodra de specialist de foto's digitaal in zijn mailbox wilt krijgen, komt er een heel ander plaatje bij kijken.

Maar gezien de vele berichten over SCADA heeft de industrie zijn volgende melkkoe gevonden...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.