image

Nieuwe ransomware kan industriële systemen overnemen

dinsdag 14 februari 2017, 12:06 door Redactie, 6 reacties

Onderzoekers hebben nieuwe ransomware ontwikkeld die in staat is om industriële controlesystemen over te nemen. LogicLocker (pdf), zoals de onderzoekers van het Georgia Institute of Technology hun ransomware noemen, werd tegen een gesimuleerde waterzuiveringsinstallatie gedemonstreerd.

Tijdens de demonstratie lieten de onderzoekers zien hoe de ransomware de PLC's (programmable logic controller) van de installatie kon bedienen om kleppen te sluiten, meer chloor aan het water toe te voegen en valse meldingen weer te geven. Voor zover bekend zijn er nog geen industriële systemen door ransomware getroffen, maar de onderzoekers verwachten dat dit slechts een kwestie van tijd is.

Op deze manier kunnen criminelen in plaats van alleen bestanden belangrijke waterzuiveringsinstallaties of andere systemen gijzelen. "Het hacken van de programmable logic controllers in deze systemen is de volgende logische stap voor deze aanvallers", zegt onderzoeker David Formby. De onderzoekers stellen dat industriële controlesystemen belangrijke beveiligingsprotocollen missen. In veel gevallen zijn de systemen ook niet ontwikkeld om op internet te worden aangesloten.

Om tegen mogelijke ransomware te beschermen is het volgens de onderzoekers belangrijk dat alle standaardwachtwoorden binnen een installatie worden gewijzigd en protocollen die niet in gebruik zijn worden uitgeschakeld. Verder moeten bedrijven firmware-updates installeren, bij het aanschaffen van nieuwe apparatuur de securityfeatures onderzoeken, netwerken monitoren en netwerksegmentatie toepassen. Op beleidsgebied moet bijvoorbeeld het gebruik van eigen usb-sticks worden verboden.

"ICS-netwerken hebben malware grotendeels weten te ontlopen. Niet omdat ze veiliger zijn, maar omdat cybercriminelen nog een goed businessmodel moeten verzinnen. Recente aanvallen op ziekenhuizen hebben laten zien hoe winstgevend ransomware kan zijn als belangrijke onderdelen worden gegijzeld en er menselijke slachtoffers kunnen vallen", aldus de onderzoekers in hun conclusie. Ze wijzen naar rapporten waaruit zou blijken dat aanvallers zich nu ook op ICS-netwerk gaan richten. Door de ontwikkeling van eerste ICS-ransomware hopen ze beheerders van dergelijke systemen voor te bereiden.

Image

Reacties (6)
14-02-2017, 12:21 door Anoniem
Hoogste tijd dat dit soort vitale installaties weer gewoon via lokale computers bestuurd gaan worden zonder ook maar enige vorm van verbinding met de buitenwereld zoals internet of externe computermedia. Kost wellicht wat extra personeel maar dat is dan ook weer goed voor de werkgelegenheid.
14-02-2017, 12:40 door Anoniem
Allemaal ontwikkelingen die volgen op Stuxnet. Dat virus zat rondt 2012 al in diverse vitale installatie in Europa. Gelukkig zijn ze bij Rijkswaterstaat hierna begonnen om maatregelen te nemen ook mede na het incident met de gemalen in Veere.

No-oS
14-02-2017, 14:05 door Anoniem
Datadiode techniek toepasen voor de benodigde extractie van data. Voor de rest isolatie inderdaad...

Maar helaas ben je er daarmee niet. Want dan nog steeds kun je met drones hele vervelende dingen doen...

Dus wakker worden people....
14-02-2017, 17:49 door Anoniem
Dit is toch helemaal niets nieuws meer? Dat hier kostbaar onderzoeksgeld aan besteed wordt, droevig en treurig. Waarom richt men zich niet op nieuwe softwarearchitecturen, programmeertalen, cpu's en compilers die beter beveiligbaar zijn cq helemaal niet te hacken zijn?
14-02-2017, 17:49 door Anoniem
Door Anoniem: Allemaal ontwikkelingen die volgen op Stuxnet. Dat virus zat rondt 2012 al in diverse vitale installatie in Europa. Gelukkig zijn ze bij Rijkswaterstaat hierna begonnen om maatregelen te nemen ook mede na het incident met de gemalen in Veere.

No-oS

2010 was het, en het deed niets verder (behalve in Iran)
17-02-2017, 19:36 door Anoniem
Leveranciers van ISC/SCADA/DCS systemen zijn volop bezig hun systemen te beveiligen, echter bedrijven en organisaties die de systemen gebruiken plannen vaak onderhoud in meerdere maanden of jaren omdat ze geen onderbreking willen van de productie. Even een (security) update van een procesbesturing systeem is vaak niet mogelijk.

Bruggen en sluizen worden vaak vanuit kosten overweging op afstand bestuurd. Proces informatie moet vaak worden doorgegeven aan de administratieve informatie systemen er zijn dus koppelingen noodzakelijk.

Of de datadiode van Fox-it hierin verandering kan brengen betwijfel ik, proces systemen maken op het laagste niveau (level 1) vaak gebruikt van andere protocollen dan TCP-UDP/IP, denk van Profibus, Modbus en Fieldbus hierbij is vaak verkeer in twee richtingen noodzakelijk. Je zal versteld staan hoe vaak deze protocollen ook op afstand nog gebruikt worden (Sluizen, bruggen en pijpleidingen). De systemen in het veld worden d.m.v. deze protocollen gekopeld aan dePCL/FCS systemen op level 2 waarbij de PLC/FCS systemen vervolgens op een hoger niveau weer gekoppeld zijn aan SCADA en DCS systemen (Level 3). Deze systemen worden worden via een HMI wat meestal op hetzelfde systeem zit bediend door de operator. Daarnaast heb je de datacollectors welke informatie doorsturen naar de administratieve systemen (Level 4), hier zou je iets kunnen doen met de datadiode van Fox-It. Echter we weten het allemaal Stuxnet kwam niet via het netwerk maar via een USB stick terecht op een van de enginerings workstations. Datadiode of een goede security appliance op Level 4 en 3.5, alle USB poorten disablenen is een leuk begin.

Blijf een lastig probleem om dit goed te krijgen.

Stuxnet:

In het begin was verspreiding en payload van Stuxnet gericht op Iran, tussen 2010 en 2012 zijn er meerdere versies uitgekomen, welke bewust breder zijn verspreid, echter waar de payload nog steeds gericht was op Iran. Daarom was het virus wel aanwezig op de systemen in Europa maar deed het verder niets.
Dat America in opdracht van Obama Stuxnet verspreid dat ook terecht komt op systemen in Europa welke worden gebruikt voor procesbesturing en/of de programmering van PLC systemen is toch een enorm risico, stel dat het wel fout ging door een fout in de code van Stuxnet dan stonden we in Nederland mogelijk tot onze oren in het water.

No-oS
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.