Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers ontwikkelen ransomware voor industriŽle controlesystemen

Door , 49 reacties

Wetenschappers van het Amerikaanse Georgia Institute of Technology hebben een ransomwarevariant ontwikkeld voor industriŽle controlesystemen, in dit geval in een waterzuiveringsinstallatie. De variant is alleen bedoeld voor simulatiedoeleinden.

Op deze manier willen de wetenschappers aantonen dat ransomware ingezet kan worden om kritieke infrastructuur te infecteren en losgeld te vragen. Hun variant is in staat om de plc's aan te sturen die verantwoordelijk zijn voor de regeling van ventielen en de hoeveelheid chloor die aan het water wordt toegevoegd. Volgens de onderzoekers is het infecteren van plc's 'de volgende logische stap' nu ransomware al wordt gebruikt om ziekenhuizen aan te vallen.

De onderzoekers waren in staat om 1400 plc's van een bepaald type via internet te benaderen. De gebruikers van deze systemen zouden vaak niet op de hoogte zijn van de kwetsbaarheden of van het feit dat het apparaat met internet is verbonden. Daar komt bij dat veel plc's niet gebouwd zijn met de bedoeling om ze met internet te verbinden.

Om hun malware te testen bouwden de wetenschappers een eigen 'waterzuiveringsinstallatie' op schaal. Op die manier simuleerden ze een aanval, waarbij ze dreigden een grote hoeveelheid chloor aan het water toe te voegen, waardoor een gezondheidsrisico kan ontstaan. De wetenschappers presenteerden hun onderzoek maandag op de RSA-conferentie in San Francisco.

Dat industriële controlesystemen kwetsbaar en via internet vindbaar zijn, bleek eerder bijvoorbeeld al uit onderzoek van beveiligingsbedrijf Kaspersky. Het bedrijf identificeerde ongeveer 220.000 benaderbare systemen, waarvan 3600 in Nederland en 3800 in België. Tot nu toe zijn er geen gevallen bekend van een aanval met ransomware op dergelijke systemen.

Sander van Voorst

Nieuwsredacteur

14 februari 2017 09:19

49 reacties

Linkedin Google+

Reacties (49)

Wijzig sortering
Ja, dat was te verwachten natuurlijk. Daarom draaien die systemen over het algemeen ook altijd in een gesloten netwerk. Hoewel ik ook weet dat het niet altijd gebeurt.. Met Shodan.io kan je genoeg leuks vinden.

Wij (mijn bedrijf) maken ook aansturingssoftware voor industrÔele doeleinden. Maar die units zijn onderling verbonden, en staan los van de 'buitenwereld'. Aansturing gebeurt vanaf de control room, en verder is het niet mogelijk. Er wordt nog wel eens om gevraagd hoor, door het management, want die hebben dan ook de term 'IoT' horen vallen en willen daaraan meedoen. Lekker kunnen inloggen op het systeem vanachter het bureau. Leuk, maar wat dit betreft zijn de kosten als het fout gaan groter dan de baten. De systemen draaien over het algemeen nog Windows xp dus dat is prijsschieten tegenwoordig.

(Nu hebben we laatst nog wel een klant met ransomware gehad.. die had via een privť USB ransomware op het gesloten netwerk gekregen (PC van andere fabrikant , USB was niet dichtgetimmerd). De fabriek lag 3 dagen stil omdat alles nagelopen moest worden. Dat kost pas geld.)

[Reactie gewijzigd door Nat-Water op 14 februari 2017 09:37]

Ook een gesloten omgeving is ontzettend kwetsbaar doordat er nagenoeg geen security maatregelen zijn wanneer je eenmaal binnen het netwerk zit. Niet verbonden zijn met het internet zegt natuurlijk niets, een apparaat inpluggen kan bijvoorbeeld een fluitje van een cent zijn, en eenmaal binnen heb je vrij spel.

Afkoppelen van internet kan een stap zijn, maar is zeer zeker onvoldoende.

[Reactie gewijzigd door paradoXical op 14 februari 2017 14:55]

Dit dus. Waar het op dit vlak ook flink mis zit is de houding van de SCADA-type softwareleveranciers. Het komt gewoon nog voor dat er niet hoger dan Windows XP (of Vista) ondersteund wordt...want ja, klanten kunnen toch niet naar een ander pakket.

Het wordt hoog tijd dat hier een stuk verantwoordelijkheid bij de leveranciers van dit soort software komt te liggen. Leuk dat je software maakt voor industriŽle systemen, maar geen verantwoordelijkheid nemen voor de beveiliging / veiligheid hiervan is gewoon niet meer acceptabel.
Tja, de open source gemeenschap roept dit natuurlijk al 30 jaar - als klant ben je dom als je een product zonder bijbehorende source code + rechten erop aanschaft. Dat geld al helemaal voor overheden... Een voorval waarbij een garage niet meer open kon (met auto's er nog in!) omdat de overheid niet langer steeds toenemende bedragen "voor onderhoud" wilde betalen aan het bedrijf wat de software had gebouwd - da's al 15 jaar oud. Ik kan het niet eens meer vinden. En al was het een broodje aap - feit blijft dat we nu niet in deze problemen zouden zitten als de oproep om slimmer aan te kopen (als in, exclusief GPL ofzo) gehoord was.

"We told you so" word wel saai zo onder hand. Het meest verassende is dat er nog steeds maar mondjesmaat gereageerd wordt. Er moeten eerst doden vallen, vermoed ik, op grote schaal waarschijnlijk, voordat er iets gebeurt. En dan zal het nog vooral via de corrupte grote IT 'leveranciers' gaan, met lapmiddeltjes. Dat levert meer op...
Goed punt.
Ik zou dan ook state monitoring willen toevoegen.
Cruciale files mogen niet gewijzigd worden. Zijn ze gewijzigd zonder geregistreerde change record, dan is er iets fout gegaan. Mogelijk ben je dan gehacked.
Goed punt.
Ik zou dan ook state monitoring willen toevoegen.
Cruciale files mogen niet gewijzigd worden. Zijn ze gewijzigd zonder geregistreerde change record, dan is er iets fout gegaan. Mogelijk ben je dan gehacked.
Bij veiligheidskritische systemen gebeurt dat dus ook. Als de checksum van het ingeschoten programma of van de registerset die is doorgestuurd niet klopt, dan weigert het apparaat gewoon dienst omdat er mee is geknoeid.
Mensen worden waarschijnlijk pas wakker als ze een paar keer berichten in de media lezen van bedrijven die getroffen zijn en daardoor dagen plat liggen.

Maar zoals het artikel stelt zullen problemen alleen maar groter worden en is het wachten op een ramp.
Daarom is 't toch goed dat er bedrijven zijn die 't aantonen? Ik hoop dat ze er dan wel naar luisteren voor ze. Want het is inderdaad een kwestie van wachten op een grote ramp zoals 't nu gaat. En dit is maar 1 ding, zo zijn er nog 1000-en waar 't zo lek als een mandje is. Laatst ook die docu over Stuxnet gekeken, ook bedoelt voor in een gesloten netwerk, maar dat ging toch ook mis ...

Ik blijf me toch verbazen over de naÔviteit van de mens. Zelfs in een gesloten netwerk zou je wat meer beveiliging moeten hebben dan het aanpassen van een tekst bestand van 3 regels van een PLC, zonder enige vorm van firewall of andere failsave.
Je kunt toch wel iets verder kijken en rekening houden met als - dan scenarios?
Het is geen proof of concept, het bestaat al.
Dit is een zijweggetje want plc's doen in beginsel hetzelfde.

Schakelen (van grotere stromen).

Google eens op scada. Leg dat eens uit aan politici of management.
Hopelijk brengen ze hiermee niet mensen op een idee...
Dit is ook een beetje een doorontwikkeling van ransomware, wat is de volgende stap; grote (lees belangrijke) industriŽle systemen 'ransomen'. Dit soort bedrijven zullen snel betalen (en hebben vaak het geld wel) om kritieke systemen z.s.m. weer up en running te krijgen.
Klopt maar reken er dan ook maar op dat je de fbi meteen op je nek zal hebben.

Hoe groter het slachtoffer en hoe belangrijker de infrastructuur des te groter het risico dat men achter je aan gaat komen.
Zelfde wat ik dacht..
hoeveel zou je er voor kunnen vragen? :+
Op deze manier willen de wetenschappers aantonen dat ransomware ingezet kan worden om kritieke infrastructuur te infecteren en losgeld te vragen.
Je moet natuurlijk wel weten hoe hetgene werkt dat je probeert te bestrijden. Door zelf ransomware te ontwikkelen ontdek je veel zwakheden in de systemen die je onderzoekt.
Je kunt dit beter academisch onderzoeken voordat je er in de werkelijke wereld mee wordt aangevallen. Je moet niet rekenen op de mogelijkheid dat sinisteren het nog niet hebben verzonnen, want er zijn genoeg creatievelingen.
Ik hoop juist van wel en dat het management / de overheid zich gaat realiseren dat deze systemen nu eenmaal op geen enkele manier met het internet verbonden moet zijn, maar in een afgesloten netwerk moeten draaien.

Bewustwording is ook een vorm van mensen op ideeŽn brengen. Dat is dan ook het doel van deze test.

[Reactie gewijzigd door CurlyMo op 15 februari 2017 09:40]

Idee is niet nieuw. Werkende concepts werden in de tijd van Stuxnet reeds druk besproken op de betrokken forums.
Ik ga vanuit dat deze systemen niet aan het netwerk internet hangen, maar ja, ransomware hoeft natuurlijk niet online te zijn.

Iemand met een "vuile" usb stick kan zomaar op het lokale netwerk het systeem infecteren, geen verbindingen van buitenaf nodig. Bitcoins overmaken, hier heb je de keycode om het weer werkend te krijgen, klaar...

[Reactie gewijzigd door Boy op 14 februari 2017 12:07]

"het netwerk" bedoel je internet mee? Ik neem aan dat je inziet dat alles aan een of ander netwerk hangt, ze gaan de boel niet handmatig per klep/pomp/... bedienen.
Dan moet je vaker in oudere fabrieken komen ;) . Er zijn nog zat fabrieken, ook in Nederland, die gewoon de kleppen met de hand besturen. En ja, dat houdt in de klep een draaitje meer of minder geven afhankelijk van het proces.
Hij bedoelt een lokaal gesloten netwerk. Ook dat is te infecteren met een stukje ransomware middels een USB stick oid. Nog steeds stoppen vele mensen een gevonden USB stick gewoon in de computer om te zien wat er op staat...
Maar heel veel van deze systemen zitten ook gewoon op het internet - en inderdaad erg slecht beveiligd. Redelijk algemeen bekend ook - dus kwestie van tijd voor kwaadwillenden ermee aan de haal gaan... Een dergelijk onderzoek zal niet echt mensen op ideeŽn brengen verwacht ik aangezien de betreffende kwetsbaarheden al bekend zijn. Het is hopelijk wel een eye opener voor de instanties om hier wat aan te doen.
je hebt gelijk, in de eerste zin bedoelde ik 'internet', typo...(gefixt)
Je zal nog opkijken van de hoeveelheid PLC's die open en bloot aan het internet hangen, vaak zelfs met de default user/pass combinatie. Sluisen, electriciteits verdeelstations, etc... In de industriŽle aansturingswereld is security nog niet bepaald gemeengoed geworden.
PLC's zijn ook heel moeilijk te beveiligen door dat ze onder andere een moeilijk lange patch cyclus hebben (alles moet uitvoerig getest worden door de fabricant zelf), en dat ze gewoon niet beveiligd ontworpen zijn. De enige manier om ze een beetje te beveiligen is inderdaad ze los te koppelen, maar ja als het aan het internet zit kunnen we er leuke waardes realtime van aflezen.
Hang ze dan in ieder geval achter een router / firewall / VPN tunnel, zodat je in ieder geval eerst in moet loggen op een apparaat wat is ontworpen om veilig te zijn.

Daarnaast is het gebruik van de default username / password natuurlijk niet de schuld van de fabrikant, maar de luiheid van de installateur.
Ik herinner er nog even aan dat het verzieken van PLC's allereerst een overheidstaak was (stuxnet). Dit door een 'verziekte' usb in een Siemens PLC installatie.

Dus als je een fabriek wil aansturen met PLC's:
  • geen internet aansluiting (zeker niet)
  • alle usb ingangen dicht lijmen
  • goede beveiligingschecks voor medewerkers (!) en bezoekers
Volgens mij gebruikte stuxnet niet de PLCs, maar SCADA. Siemens heeft lang (voor de Amerikanen) een standaard wachtwoord ingebakken gehad.
Systemen hebben een standaard wachtwoord bij uitlevering om verbinding te kunnen maken en software te laden.
In de handleiding, alle trainingen en op de speciale security website van Siemens is er uitvoerig aandacht voor hoe de systemen degelijk te beveiligen.
Zelfs voor een absolute leek, die alleen een paar regeltjes code in een plc wil schieten, is het met een paar clicks mogelijk om een basis beveiliging in te stellen.
Mensen doe het gewoon niet, stellen niets in kwa beveiliging en die kabel uit de muur in de ethernet poort want zo handig, kun je er van bureau of huis ook bij.
Je lult echt tegen een muur bij veel eindgebruikers. Zeker Siemens, al voor Stuxnet maar er na helemaal, is een absolute koploper op beveiligingsgebied. Uitgebreide onafhankelijke certificeringen voor hardware en software, complete security manuals, uitgebreide voorbeelden en trainingen. Consultants en solution partners als het zelf niet lukt. Maar in de praktijk is het een "kostenpost" en niet interessant. Zonder al dat gedoe werkt mijn systeem toch ook....

Nu lekker industry 4.0 en IIoT pushen, een security nachtmerrie. Niet omdat het niet relatief veilig kan, maar omdat het gewoon niet word gedaan.
Je hebt het nu over de huidige systemen. Stuxnet was geschreven voor een oude versie van WinCC. Deze was wat minder beveiligd.

Je hebt helemaal gelijk op het punt van security. Meestal is de opmerking: Het zit toch niet aan internet. Dan vergeten ze voor het gemak dat er een VPN verbinding ligt, of dat er ook dingen zijn als USB sticks etc.

Maar ja het is vooral de geld kwestie.
Oudere versies zijn zeker niet waterdicht en met name de gebruiksvriendelijkheid was een stuk minder (500+ paginas handboeken) maar ook daar was en is heel veel aan te doen en in te stellen. Maar zelfs simpele zaken als gebruikers met rechten en afschermen van kritieke acties is vaak achterwege gelaten.
Zelf met een kwetsbaar systeem in je installatie kun je met segmentering en verificatie veel ellende voorkomen.
Iets knulligs als verificatie van limietwaarden... Als het niet strikt noodzakelijk is voor functioneren van het systeem bij correct gebruik dan is het al snel een kostenpost.
Als je op dat moment de internetverbinding afsluit kunnen ze toch niks meer regelen of klopt dit niet?
ťťnmaal ongemerkt binnen via een usb stick, of mailtje kan kwaadaardige software, wanneer het actief is geworden razendsnel zijn kwaadaardige werk uitvoeren in een systeem, en ben je in veel gevallen toch te laat, met afsluiten van het internet.
ja dat snap ik maar ik wist niet dat je echt die code op de plc kan herprogrammeren en ik vermoede dat als de dreiging voor losgeld binnenkomt je dus je internetverbinding afzet en zo manueel de boel in orde houd.
Meeste ransomware werkt ook met een tijdmechanisme, waarna verloop van tijd de sleutel wordt vernietigd. Kortom afsluiten van internet heeft dan weinig zin.

Ook zijn er al ransomwares die rekening houden met het feit dat er geen internet is.
hiermoet je bv een code op een wesbite plaatsen om een sleutel te krijgen.
Dan is het simpel genoeg, je geeft al je PLC's een wipe en schiet de software er in die er voor de infectie optrad ook al in gestoken was. Standaard klusje voor een gemiddelde service engineer.

Ik zie echt geen groter risico als een PLC die ineens spontaan besluit om zijn rook vrij te laten, dan zul je hem ook moeten vervangen en herprogrammeren. Bij een malware-infectie is dat niet anders, hooguit dat je dan meer devices hebt die je zal moeten wissen. Aan de andere kant hoef je dan geen hardware te vervangen.
Ik denk niet dat het risico is dat ze de PLC opnieuw moeten downloaden. Het risico ligt hem op spionage en stilstand.

Natuurlijk, het is op te lossen door een PLC opnieuw te downloaden. Maar, dan moeten alle statussen nog gecorrigeerd worden. etc etc. Dan staat een gemiddeld proces toch een aantal uur stil.
Het is wel te hopen dat de ransomware, die voor onderzoek wordt ontwikkeld wel binnen de zogenoemde laboratorium muren blijft, en niet door ťťn of andere slordigheid ook op de (digitale) straat komt te liggen. Zoals met de iPhone hacktools van de FBI zou zijn gebeurd.
Wat ik mis aan dit verhaal is het merk/type van de gebruikte PLC.
https://www.tripwire.com/...et-plcs-industrial-sites/
Daar hebben ze het over modicon, AB micrologix an Siemens S7 1200.
Fantastisch he, dat zogenaamde internet-of-things...

Snel terug naar closed-circuit systemen.
Ja! Want beter nu op eigen houtje de exploit ontwikkelen en de zwakke plekken en risico's leren kennen, dan wachten tot het echt iemand met kwade bedoelingen is. Zie je nou echt niet dat dit soort onderzoek *juist* heel belangrijk is vandaag de dag?

Zie het als een slotenmaker, die probeert toch ook z'n sloten zelf zo snel mogelijk open te breken, om ze er vervolgens op te kunnen repareren, in plaats van wachten tot de eerste inbrekers zijn geweest?
Aan dit hele idee is toch niks origineels aan? Dit is toch de zoveelste implementatie van allerlei malware die circuleert?
Ik denk niet dat de gemiddelde crimineel ransomware schrijft om een kerncentrale te laten ontploffen. De gemiddelde crimineel richt zich op de consument en de grote hoeveelheid aan kleine transacties. Dit soort grote gevallen zijn er gelukkig nog niet zo veel geweest maar die gaan zeker komen. Software die speciaal ontwikkeld wordt om 1 specifieke fabriek o.i.d. plat te leggen. Daarom wordne dit soort onderzoeken gedaan.

Investering is vele male groter dan "consumenten ransomware" maar de return is dan ook vele male groter.
Dit is toch gewoon stuxnet? been there, done that.
Stuxnet was geen ransomware, maar malware. Maar jij hebt meer zoiets van "nouja we hebben ziektes in de wereld en dat weten we al dus laten we maar stoppen met onderzoek doen naar de ziektes want we weten toch al dat je ziek kan worden"? Dat is wat ik zo'n beetje kan halen uit je verhaal :P lijkt me dat je dat niet bedoelt?
Tja...het is relatief makkelijk, er is grof geld mee te verdienen en als je het uitvoert vanuit een land zonder uitleveringsverdragen kun je er mee wegkomen (als je al te traceren bent). Niet iedereen heeft het beste voor met de mensheid.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*