Nieuws

Hackers vernietigen waterpomp van nutsbedrijf

vrijdag 18 november 2011, 10:12 door Redactie, 5 reacties

Hackers hebben vorige week toegang tot het controlesysteem van een Amerikaans nutsbedrijf gekregen en vervolgens een waterpomp kapot gemaakt. De aanvallers schakelden het systeem wat voor de watervoorziening wordt gebruikt in en uit, waardoor de waterpomp doorbrandde. Uit forensisch onderzoek zou blijken dat de hackers mogelijk al sinds september toegang tot het systeem hadden. De aanval vond plaats vanaf een Russisch IP-adres.

Het SCADA-systeem was niet het directe doelwit. Eerst werd het systeem van de softwareleverancier gehackt die het door het nutsbedrijf gebruikte SCADA-systeem ontwikkelde. Daar werden gebruikersnamen en wachtwoorden gestolen die de leverancier voor klanten bewaarde. Met de gestolen inloggegevens kregen de aanvallers toegang tot het controlesysteem. Vanwege de diefstal lopen mogelijk ook andere watervoorzieningen gevaar of zijn al aangevallen.

Dat stelt onderzoeker Joe Weiss van Applied Control Solutions. Hij kreeg het rapport te zien dat de Amerikaanse autoriteiten na de aanval maakten. "Het aantal uit de database gestolen gebruikersnamen en wachtwoorden is op dit moment onbekend, alsmede of er vanwege deze diefstal SCADA-systemen zijn aangevallen."

Het rapport stelt verder dat de beheerders van de watervoorziening af en toe vreemde dingen bij de remote toegang zagen. Om wat voor soort zaken het ging laat het rapport niet weten. Weiss publiceerde details over de aanval op zijn blog, uit woede dat andere nutsbedrijven en watervoorzieningen niet voor soortgelijke aanvallen waren gewaarschuwd. Welk nutsbedrijf en leverancier zijn getroffen laat Weiss niet weten, maar hij vindt het onverantwoord dat andere bedrijven niet zijn ingelicht.

phpMyAdmin
De aanval op het controlesysteem zou overeenkomsten hebben met een recente hack van een MIT-server, waarmee vervolgens andere systemen werden aangevallen. Bij beide aanvallen was phpMyAdmin betrokken. In de logbestanden van het nutsbedrijf waren verwijzingen naar phpMyAdmin gemaakt, maar verdere details ontbreken.

Weiss weet niet hoe de SCADA-leverancier precies is aangevallen, maar speculeert dat programmable logic controllers (PLCs) betrokken waren. "Het zou me verrassen als dit niet zo is. Dit is een watervoorziening, die zijn erg afhankelijk van PLC's." PLC's waren ook het doelwit van de Stuxnetworm die het Iraanse nucleaire programma ontregelde.

Facebook backdoor bedreigt online identiteit

Rootkit omzeilt Windows 8 Secure Boot

Reacties (5)

18-11-2011, 10:47 door [Account Verwijderd]

[Verwijderd]

18-11-2011, 10:51 door Anoniem

Eh, waarom bewaarde de leverancier credentials tot de kritieke infra-systemen van/voor de klant? En waarom bewaarde de leverancier dat zo onnozel onveilig dat iemand zonder bevoegdheid er bij kon en het vervolgens ook nog eens kon misbruiken? En hoe is het in zijn algemeen geregeld in Nederland?!

18-11-2011, 12:27 door Anoniem

Door Krakatau:

uit het artikel:Daar werden gebruikersnamen en wachtwoorden gestolen die de leverancier voor klanten bewaarde

Oei! Dat klinkt als wachtwoorden die in cleartext zijn opgeslagen en niet gehasht. Daar krijg je vroeg of laat altijd problemen mee...

Staat er ergens dat ze onversleuteld waren opgeslagen? Het is net zo goed mogelijk dat ze herleidbaar waren.

Waar het naar mijn mening om gaat is wat de beslissingen zijn geweest om het op te zetten zoals het is, hoe men daartoe is gekomen en waarom men daarbij bleef. En daar schort het binnen heel veel organisaties aan. Niet bewust willen of kunnen zijn van de risico's, geen maatregelen nemen om risico's die men wil/kan zien goed af te dekken en gebrek aan evolutie in bestaande structuren van zorg om beveiliging.

En als er wat mis gaat noemt niemand die er bij betrokken is een naam, liefst moet dat buiten beschouwing worden gelaten vanwege 'schadelijke gevolgen' voor de geldelijke winst. Meestal zijn het buitenstaanders die de boel aan de kaak stellen, als die lucht krijgen van dat er iets met de beveiliging van een publiek domein mis is.

18-11-2011, 14:47 door [Account Verwijderd]

[Verwijderd]

19-11-2011, 00:21 door Anoniem

Sterker: enige jaren geleden een scan uitgevoerd voor een grote energie leverancier in Nederland. Personeel had al eerder aan de bel getrokken, heb bevindingen in rapportage meegenomen, maar mijn opdrachtgever heeft alle referenties richting het SCADA-netwerk eruit gehaald omdat de opdracht slechts het kantoornetwerk betrof en men - de directie van het energiebedrijf - toen bezig was met een beursgang en investeerders eigenlijk in technische onvolkomenheden niet geïnteresseerd zouden zijn.

Heb helaas een geheimhoudings-clausule moeten tekenen en kan het energiebedrijf dus niet via een andere weg berichten.
Ik heb nog wel mijn originele rapportage ;)

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer