Gerichte hackeraanval op zuivelcoöperatie
Aanvallers hebben geprobeerd het netwerk van een bekende Nederlandse zuivelcoöperatie te infiltreren, zo laat anti-virusbedrijf Norman tegenover Security.nl weten. Via een network protection appliance werd een gerichte aanval ontdekt. Bij het updaten van een systeem dat de zuivelcoöperatie voor het beheer van de SCADA-systemen gebruikte, werd malware ontdekt. De firmware die het bedrijf wilde installeren, bleek een aangepaste versie van de Conficker worm te bevatten. Conficker verspreidt zich normaliter via een beveiligingslek in de Windows Server Service, USB-sticks en gedeelde netwerkschijven. In dit geval was de firmware al bij de leverancier aangepast. Iets wat eerder ook bij muisfabrikant Razer gebeurde.
De zuivelcoöperatie was bezig met het verkrijgen van de ISA-99 certificering, die over de beveiliging van systemen binnen productieomgevingen gaat. Deze SCADA-systemen regelen het aansturen van bijvoorbeeld kleppen en vervullen een essentiële taak binnen belangrijke infrastructuur. "De SCADA-laag is heel tijdkritisch, het gaat erom dat kleppen op het juiste moment worden aangestuurd en productie continu kan doorlopen", zegt Michael Theuerzeit van Norman.
Virusuitbraak
Als je binnen zo'n omgeving een virusuitbraak krijgt ligt je productie plat, sluiters gaan niet op tijd open of dicht, waardoor een gevaarlijke situatie op de werkvloer ontstaat of waar de productie helemaal plat komt te liggen. Dat kost zeer veel geld." Normale virusscanners zijn dan ook geen oplossing, merkt Theuerzeit op.
Zelfs een lichte virusscanner is geen ideale oplossing, aangezien false positives altijd voorkomen. Op de draad scannen verdient daarom de voorkeur. Leveranciers van SCADA-software garanderen alleen de werking van het systeem als hun software als enige is geïnstalleerd en raden dan ook het gebruik van anti-virus software af.
Internet
Als het om SCADA-systemen gaat, zou je verwachten dat die niet op het internet zijn aangesloten. "Het is een natuurlijke ontwikkeling van het productieproces dat dit soort systemen toch vanaf het web bereikbaar zijn", zegt Theuerzeit. Vroeger werden nog speciale bussen gebruikt om data over te sturen, maar tegenwoordig zijn er allerlei koppelingen met ERP-systemen. "Waarbij de receptuur vanuit de kantooromgeving binnen de productieomgeving aangestuurd wordt. Daarnaast kunnen bedrijven nu vanuit het kantoor monitoren wat er op de werkvloer gebeurt."
Bedrijven willen steeds meer grip op hun productieproces hebben, vandaar ook de koppeling met de kantooromgeving. Maar die is verbonden met het internet, wat de nodige risico's met zich meebrengt. Een aanvaller zou bijvoorbeeld via een kantoorcomputer de kleppen kunnen bedienen. Daarnaast zijn het volgens Theuerzeit niet alleen de kantoorcomputers die Windows draaien, ook bij SCADA-systemen is dit het geval. "Die zijn ook zelf kwetsbaar." Als een SCADA-systeem op een verkeerd moment uitvalt, kan er een klep open blijven staan waardoor stoom uit een pijp blijft lopen of in het geval van de zuivelcoöperatie dat er melk blijft stromen of dat de toevoer van flessen stagneert.
Conficker
Aanvallers proberen wel degelijk dit soort systemen te infecteren, zoals bij de zuivelcoöperatie. "De eerste virussen zijn al tegengehouden", zegt Theuerzeit. Wat betreft de besmette firmware die werd onderschept, had dit voor problemen binnen de productieomgeving kunnen zorgen. De zuivelcoöperatie, die niet met naam genoemd wil worden, informeerde na de aanval Norman.
De virusbestrijder kan normaal niet zien wat de neergezette appliciances tegenhouden, maar kon in dit geval bevestigen dat het een aangepaste Conficker worm betrof. Wat betreft de motieven kan het gaan om concurrentie die gevoelige gegevens wil stelen of bewust systemen probeerde plat te leggen.
Weinig nieuwswaarde, meer reklame. Iedereen moet wat verdienen ;-)
Wel knap dat norman detectie werkte, normaal vindt norman bar weinig.
Ik kan niets bedenken behalve dat de concurentie er iets mee zou opschieten..
http://www.norman.com/about_norman/customer_cases/84430/nl
maar eh, behoren die systemen eigenlijk liever GEEN windows te draaien..
Het feit dat specifiek bedrijf een driver download is niet zo heel erg voorspelbaar. Je zou wel de aanval op de driverfabrikant een targeted attack kunnen noemen.
Wordt dat niet een contradictio in terminis genoemd?
Ik weet weinig van SCADA-systemen, behalve dat het een oervorm van besturing van meet- & regel-techniek door computers is. Daar valt bv. niet alleen een lift, maar ook een kerncentrale onder, of een melkfabriek die babyvoeding produceert. Stof tot nadenken. Logisch of onlogisch...
Maar daarom is het ook niet goed dat men netwerken zonder na denken aan elkaar knoopt.
Het was beter geweest als men een proxy had neer gezet die inline al het netwerk verkeer scant.
Of nog beter twee van verschillende fabrikanten dan weet je zeker dat het verkeer clean is wat de scada omgeving binnen komt.
En dan ook toestemming van maar een paar systemen toestaan naar een aantal scada servers.
Bij procesomgevingen levert de fabrikant vaak de volledige omgeving, naast (kleine) embedded doosjes ook management terminals. Die laatste kunnen zeker een volledig OS draaien (ook windows dus), het zijn volledige werkstations, al dan niet in de vorm van industrieele pc's.
De support overeenkomsten willen nog wel eens eisen dat er niets veranderd wordt door de klant. Geen andere IP adressen, geen virusscanners/management agents/of de proces-software installeren op het klant-eigen OS image e.d.
Erg vervelend, en dan krijg je van die lapmiddelen om op het netwerk dingen te doen die beter (of ook) op de host gedaan zouden moeten zijn.
Firmware kan hier dus evengoed slaan op zo'n management station, je hoeft niet meteen aan een 16KB 68000 bootloader te denken.
En zo'n management station kan dan best besmet zijn met een worm, eventueel al bij de leverancier.
Maar waarom "systeem met voorgeinstalleerde software was besmet met worm" nu een gerichte aanval heet ?
Wat er nu gebeurt is dat veel van deze componenten aan andere netwerken worden gekoppeld waardoor er ineens hele andere dreigingen op de proppen komen. Vergelijk SCADA eens met de Windows 95/98 machines die nog steeds in bijvoorbeeld ziekenhuizen in gebruik zijn (rontgen foto's). Zolang deze stand-alone of afgezonderd zijn is er niet heel veel aan de hand, maar zodra de specialist de foto's digitaal in zijn mailbox wilt krijgen, komt er een heel ander plaatje bij kijken.
Maar gezien de vele berichten over SCADA heeft de industrie zijn volgende melkkoe gevonden...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
