VS waarschuwt kritieke sectoren voor actieve hackingcampagne

Het Amerikaanse Department of Homeland Security heeft samen met de FBI een waarschuwing afgegeven aan bedrijven in kritieke sectoren, zoals energie, watervoorziening, luchtvaart en productie. Die zouden het doelwit zijn van een actieve campagne van hackers.

In de recente waarschuwing vermeldt het departement dat de campagne al sinds mei plaatsvindt. Het heeft verschillende slachtoffers geïdentificeerd en sporen van de aanvallen vastgelegd, waarmee het nu andere organisaties wil waarschuwen. De aanvallen zouden nog steeds plaatsvinden en deel uitmaken van een langetermijncampagne van de aanvallers.

De organisatie zegt niets over de herkomst van de aanvallen, maar verwijst naar een eerder rapport van Symantec waarin de hackersgroep als Dragonfly wordt aangeduid. Volgens het beveiligingsbedrijf is de groep in ieder geval sinds 2011 actief en richt hij zich onder meer op doelen in de energiesector. In het Symantec-rapport komt geen aanwijzing van een mogelijke oorsprong van de groep voor, omdat daar geen duidelijke conclusies over getrokken konden worden.

De aanvallen waarvoor Homeland Security waarschuwt, vinden plaats door gerichte phishingaanvallen en door zogenaamde watering hole-aanvallen, waarbij bijvoorbeeld een bepaalde site wordt geïnfecteerd. Dragonfly gaat te werk door eerst derde partijen met zwakkere beveiliging aan te vallen, bijvoorbeeld leveranciers van de eigenlijke doelwitten. De phishing-e-mails bevatten links naar een url shortener die op zijn beurt weer doorverwijst naar een volgende, soortgelijke dienst.

De aanvallers zouden bijvoorbeeld uit zijn op inloggegevens en op het verzamelen van informatie over ICS- en scada-systemen. Als ze eenmaal op het netwerk van een doelwit aanwezig zijn, downloaden ze aanvullende tools van een speciale server in de vorm van txt-bestanden, die vervolgens worden hernoemd. Zo konden de aanvallers bijvoorbeeld een backdoor aanbrengen.

IT-banen

Reacties (37)

janbaarda 23 oktober 2017 09:31

Het stelen van bedrijfsgeheimen is al ouder dan het internet. Dat je daar nog voor moet waarschuwen. Probeer in ieder geval buitenlandse inlichtingendiensten buiten de deur te houden. Deze organisaties hebben de tijd en middelen tot hun beschikking ...

koelpasta @janbaarda • 23 oktober 2017 09:55

Het stelen van bedrijfsgeheimen is al ouder dan het internet.

Het is 1 ding om bedrijfsgeheimen gejat te zien, maar het is even een ander dingetje als een kernreaktor op afstand kritiek gemaakt wordt of dat een drinkwaterinstallatie van een stad onbruikbraar wordt gemaakt.

SanQuan @koelpasta • 23 oktober 2017 11:51

Als je een kernreactor of een drinkwaterinstallatie op het internet aansluit ben je wel heel dom bezig. Dan is het niet de vraag of het fout gaat, maar wanneer er iets fout gaat...

mr_seeker @SanQuan • 23 oktober 2017 12:39

Je hoeft niet eens op het internet aangesloten te zijn om geinfecteerd te geraken: Je gaat naar een geinfecteerde website via je smartphone, die maakt dan via een backdoor verbinding met het bedrijfsnetwerk, die dan op zijn beurt weer connectie maakt met de router, eventueel via een usb-stick verder infecteert...

Probleem is dat veel systemen aan elkaar zijn verbonden via een netwerk vanwege "monitoring" redenen. Als je de aanval op Q-park kunt herinneren, dan weet je ongeveer wat de schade gaat zijn als zo'n virus een kernreactor plat weet te leggen. Stuxnet was zo'n geadvanceerde versie, waarbij de infectie door middel van usb sticks gaat. Ook bedrijfsgeheimen kun je via usb-sticks doorsturen, en je kunt zelfs zo ver gaan dat je computer via de buzzer in morse je bedrijfsgeheimen gaat doorsturen...

Er is een reden waarom je bij sommige beveiligingsbedrijven een "clean room" hebt: Een cluster van servers die alleen te betreden zijn via een metaaldetector en een "faraday kooi". Zeer gevaarlijke virussen worden daar op gezet middels een USB stick die daarna op professionele wijze worden "vernietigd". Probeer daar maar eens bedrijfsgegevens uit te halen

Verwijderd @mr_seeker • 23 oktober 2017 14:02

USB sticks hebben een stukje code dat uitgevoerd wordt wanneer je ze inplugged. Zie ook hier voor meer technische informatie en howto om zelf een USB stickje te maken dat foute dingen doet. M.a.w. is een USB stick nog onveiliger dan een floppy diskette, want bij een floppy diskette moest je de computer nog eerst opstarten met de floppy diskette in de drive.

Bij USB sticks is het onmiddellijk na het inpluggen van de stick.

M.a.w. wie verantwoordelijk is voor serieuze beveiliging (kerncentrales, defensie, e.d.) maar wel (eigen) USB sticks in de ruimtes toe laat waar te beveiligen computers staan die USB poorten hebben, is eigenlijk gewoon zo verkeerd bezig dat hij (als officier, ambtenaar, functionaris of wat dan ook) burgerlijk aansprakelijk hoort gesteld te worden. Plus daarboven vermoedelijk best een zware gevangenisstraf zodat het zeker niet meer opnieuw gebeurt bij hun opvolgers.

Maar eigenlijk: ik ben wel eens op interview geweest bij een producent van wapentuig. Alvorens je er binnengaat geef je al je elektronica af en ga je door een poortje dat detecteert wat je vergeten bent. Voorts hangt er, uiteraard, niets op Het Internet. En alles wat je van Het Internet nodig hebt op die computers zet je volgens bepaalde procedures over (daar horen bronnenonderzoek, virusscan (duh), en zo verder bij). Normaal gesproken is dat dus ~ in orde. Maar goed. Er zijn altijd knukkels in onze sector. Dat is waar.

Verwijderd @SanQuan • 23 oktober 2017 13:54

Ik zou zelfs durven stellen dat het niet de vraag is of het fout gaat, maar wel wie er burgerlijk aansprakelijk gesteld wordt.

Verwijderd @janbaarda • 23 oktober 2017 09:40

Voordat het internet bestond was het stelen van bedrijfs- en staatsgeheimen niet zo makkelijk of bijna onmogelijk. Nu met internet en computers is het een fluitje van een cent, en het kan zelfs vrijwel anoniem.

Ik heb al vaker geroepen dat er aparte netwerken voor kritieke infrastructuur moeten komen, die los staan van het internet.

dehardstyler @Verwijderd • 23 oktober 2017 10:00

Ik heb al vaker geroepen dat er aparte netwerken voor kritieke infrastructuur moeten komen, die los staan van het internet.

Om dan gelijk de vraag te krijgen: "Wie gaat dat betalen?"
Ik vind dat bedrijven erin moeten investeren, maar zonder dwang gaat het absoluut niet gebeuren.
Daarom moet de overheid het eisen!

nobraininvolved @dehardstyler • 23 oktober 2017 10:50

mja, maar dat gaat ook niet werken.
Stel dat je alle NL energiecentrales op een eigen, apart netwerk hebt...ook dan is het voldoende om 1 van de centrales te hacken en heb je wss gelijk toegang tot allemaal.
Ik vind wel dat het 'online' zijn van sommige infrastructuur niet opweegt tegen het offline zijn met wat extra handwerk. Belangrijke data-uitwisselingen kun je soms beter via b.v. een usb stick of cd doen die je op een beveiligde manier van A naar B brengt, dan over het internet.

EpicKip @nobraininvolved • 23 oktober 2017 11:06

Als er een nieuw netwerk voor aangelegd wordt kan dit compleet offline blijven, je moet dan alleen geen remote toegang etc. mogelijk maken. Dan zou het enige risico nog zijn: fysieke toegang

Transferno @EpicKip • 23 oktober 2017 11:53

Wat tegenwoordig vreselijk duur gaat zijn.
Leveranciers maar ook eigen mensen loggen continue remote in op systemen. Om af te dwingen dat iedereen weer mensen op locatie heeft, gaat véél geld kosten. Dus komt het weer terug op wat al gezegd is, niemand gat hiermee beginnen wat het betekend hun failliet. Het kan dus alleen gebeuren als iedereen er gelijktijdig mee begint, dus als het afgedwongen wordt.

Daarnaast lijkt het me geen oplossing. Het geeft een vals gevoel van veiligheid waardoor men minder focus gaat hebben op beveiliging in dat interne netwerk. En met zo veel mensen op locatie (want die heb je dan weer nodig), is het makkelijk om iemand te vinden die wel een virus wil installeren (eventueel onbewust).

EpicKip @Transferno • 23 oktober 2017 12:24

Ik heb het er niet over of het te realiseren is... ik reageerde hierop:

Stel dat je alle NL energiecentrales op een eigen, apart netwerk hebt...ook dan is het voldoende om 1 van de centrales te hacken en heb je wss gelijk toegang tot allemaal.

en daarnaast, iedere mafkees die niks van computers begrijpt geef jij gewoon lokaal toegang tot het systeem van een kerncentrale? Er horen sowieso alleen bevoegde mensen met die dingen te werken. Die doen niet per ongeluk een usb'tje met een virus in zon systeem.

Transferno @EpicKip • 23 oktober 2017 20:54

Genoeg mensen met toegang tot iets maar niet de nodige kennis of voorzichtigheid.

Verwijderd @nobraininvolved • 23 oktober 2017 14:14

Liever data transfers over een geëncrypteerde tunnel, over het Internet, dan over USB sticks. Tenzij je die USB sticks allemaal m.b.v. hun serial number registreert (minimaal) en stricte regels oplegt aan alle medewerkers over het meebrengen van eigen USB sticks (NIET toegelaten, NIET. NOOIT. GEEN uitzonderingen. Voor NIEMAND).

USB is eigenlijk altijd gevaarlijk. Een geëncrypteerde tunnel (VPN, of zo) heeft nog een kleine kans om vrij veilig te zijn.

nobraininvolved @Verwijderd • 26 oktober 2017 22:12

Klopt wat je zegt, maar mijn opmerking was meer bedoelt als: een netwerk, welk netwerk dan ook, is ook maar zo sterk als zijn zwakste schakel....dus hoe meer systemen je aan elkaar knoopt, hoe zwakker de beveiliging per definitie wordt. Dus het gaat niet zozeer om het medium usb, maar om het feit dat je alleen absolute beveiliging zult kunnen creeren door een computer, stand alone, achter slot en grendel te hebben met fysieke bewaking of 4 ogen principe...

Verwijderd @dehardstyler • 23 oktober 2017 14:10

Precies. Dus laten we dit met dwang doen.

Gewoon de licentie om die kritieke infrastructuur te mogen uitbaten afnemen, tot ze hun normen wat betreft beveiliging op orde hebben.

Normaal gesproken zal het dan een paar dagen later plots wel allemaal kunnen. Probeer maar eens.

janbaarda @Verwijderd • 23 oktober 2017 12:22

"...aparte netwerken voor kritieke infrastructuur..." die zijn er toch al lang. Bekend voorbeeld "Haagse Ring". Dit netwerk is weer gekoppeld aan het besloten netwerk Diginetwerk beheert door Logius.

Verwijderd @Verwijderd • 23 oktober 2017 12:33

Ik heb al vaker geroepen dat er aparte netwerken voor kritieke infrastructuur moeten komen, die los staan van het internet.

Goed plan, een klein apart netwerk zodat hackers makkelijker weten waar ze moeten zijn. Welke technologie gaan we dan gebruiken op dit doelwit netwerk? Zeker niets wat we nu op het internet gebruiken want daarvan weten we dat het niet veilig is (wellicht niet veilig KAN). Als het wel veilig kan heb je geen apart netwerk nodig.

Verwijderd @Verwijderd • 23 oktober 2017 14:05

Het werkt gewoon met internet protcollen inderdaad, maar is niet vanaf het internet bereikbaar. Vergelijk het met LORA van KPN.

Verwijderd @Verwijderd • 23 oktober 2017 14:17

Alles op dat netwerk encrypteren daarvan weten we dat het veilig is. Zolang je de private keys niet lekt en zolang je een slimme manier van key-exchange doet zodat een MiTM min of meer onmogelijk wordt.

Wanneer je alles encrypteert en de end-points geen ongeëncrypteerde sessies toelaten, dan weet je altijd met cryptografische garantie wie de bron van de data is. Alle bronnen die je vertrouwt zijn dan veilig om mee te communiceren.

Vertrouw je een bron niet meer, revoke overal die bron z'n key. Daarna kan die nergens nog communiceren.

m.a.w. edit /etc/ssh/sshd_config en verander dit:

#PasswordAuthentication yes

In dit

PasswordAuthentication no

Registreer daarna manueel de public keys in de authorized_keys files van de gebruikers van systemen. Gebruik je geen SSH hiervoor, het equivalent voor de SSL of TLS instellingen van die andere service: géén unencrypted sessies toelaten, géén paswoord authenticatie, enkel op voorhand en manueel geregistreerde public keys. Los daarvan moet je natuurlijk goede key-pairs maken. M.a.w. maak die uitsluitend op een machine met deftig random entropy en zo. En maak het niet mogelijk dat de key registraties kunnen gewijzigd worden zonder bv. root rechten (chmod, chown, chgrp, etc de authorized_keys file).

[Reactie gewijzigd door Verwijderd op 22 juli 2024 21:21]

Verwijderd @Verwijderd • 23 oktober 2017 13:49

Wat is het verschil,

Zolang mensen van 1 naar ander netwerk gaan gaan infectie gewoon mee. en op een ander netwerk is het gewoon het zelfde koop een employee om of laat iemand infiltreren en je hebt een foothold in dat netwerk.

Er is maar 1 oplossing en dat is mensen opvoeden en accepteren dan overalnetwerken zijn zodat je weer kan focussen op data beschermen ipv netwerken. het beschermen van het netwerk is ancient technology.

Verwijderd @Verwijderd • 23 oktober 2017 14:04

Ja, maar je kan via dit netwerk niet bij het internet komen. Dat is de clue. Het is dan ook niet zo makkelijk om de apparaten en computers op dit netwerk te infecteren.

Verwijderd @Verwijderd • 23 oktober 2017 16:20

dat is toch het zelfde als we nu al hebben met LAN only dat niet connected is met INET.

en deze worden ook gewoon geinfecteerd. ik denk dat je je even moet verdiepen in de manier hoe we dat soort netwerken infecteren dan zul je zien dat dat geen nut heeft.

M.M @Verwijderd • 23 oktober 2017 14:29

De eisen aan de netwerkbeveiliging zijn voor een privaat netwerk niet anders dan voor een publiek netwerk (als je het goed wilt doen).

aryan1171 @janbaarda • 23 oktober 2017 09:40

Het is een ding om een bedrijf te infiltreren en dan geheimen te stelen maar een compleet ander ding om zoiets te combineren met moderne technologie. Hackers maken gebruik van creativiteit en daar kan je je als bedrijf erg moeilijk tegen wapenen- vroeger of nu. Helemaal als je bedenkt dat de meeste (grote) bedrijven al tonnen met geld uitbesteden om zulke figuren buiten de deur te houden. De meeste IDS zijn genoeg om kleine gebeurtenissen te voorkomen maar je kan weinig doen tegen een menselijke geest die lust voor avontuur

Wat betreft je opmerking over inlichtingendiensten... Tsja, nu wordt het helemaal moeilijk. Je hebt nu te maken met diezelfde creatievelingen maar nu gebackt door een organisatie waar inderdaad tijd en geld achter rust. Wat wil je daar precies aan doen? Ik vind dat mensen heel snel tegenwoordig zeuren over dat iets beter kan- zelf met concrete suggesties komen doen ze vaak niet. Hoe zou je het zelf oplossen dan?

janbaarda @aryan1171 • 23 oktober 2017 12:37

Zoiets als Diginetwerk van de overheid is een goede stap in de juiste richting. Afgescheiden van het internet (deels fysiek) door firewalls, specifieke protocollen en tunneling. Als infrastructuur beslist op afstand bediend moet worden (meestal uit kostenoverwegingen) dan in ieder geval via een dergelijk apart netwerk.

Echt kritieke zaken als energiecentrales, grastransportleidingen, hoofdsluizen, luchtverkeersregeling, enz. altijd met menskracht (ondersteund met IT). Zelfs dan kan een infiltratie plaatsvinden.

Thc_Nbl @janbaarda • 23 oktober 2017 17:20

Nee. daar gaat het totaal niet om..

Uit eindelijk gaat het om dit :
https://www.youtube.com/watch?v=BHCPj7VDX6o

ipv geheimen maar openbaarheid hoe de overheid werkt en meer openbarheid waar het geld naar toe gaat, en dat willen de boefjes niet.. (boefjes aka... politiekers/mega corparatie mafia )

janbaarda @Thc_Nbl • 24 oktober 2017 02:40

Je slaat de spijker op de kop. Openheid is de basis voor vertrouwen. Aan de andere kant: al te goed is buurmans gek. M.a.w. Voorlopig hecht ik aan mijn eigen privacy en probeer ik mijn bedrijfsgeheimen geheim te houden voor organisaties die daar niks mee te maken hebben...

Luinwethion 23 oktober 2017 09:06

Hopelijk nemen die bedrijven dat soort waarschuwing serieus, anders hebben ze niks geleerd van Equifax

Ik zou ook verwachten dat de regering met cyber security eisen komt voor essentiële bedrijven, telecos, energie bedrijven en banken bijvoorbeeld.

[Reactie gewijzigd door Luinwethion op 22 juli 2024 21:21]

Blokker_1999

Verenigde staten
Netwerk en systeembeheer
Security

@Luinwethion • 23 oktober 2017 10:43

Je bedoelt: Hopelijk hebben deze bedrijven dit soort waarschuwingen niet nodig en zijn ze reeds voorbereid.

Iblies @Blokker_1999 • 23 oktober 2017 11:24

Wat denk je zelf?

Ik acht de kans extreem groot dat er heel veel bedrijven binnen de keten gas/water/licht, maar ook productie van voedsel en ook bedrijven met gevaarlijke stoffen bij lange niet up-to-date is.

Het zijn namelijk te veel bedrijven,
er staan geen sancties op,

maar het kwalijkste, er is geen controle.
Als je Nederland als voorbeeld gebruikt; er zijn meerdere plaatsen waar met gevaarlijke stoffen wordt gewerkt.

Verwijderd @Iblies • 23 oktober 2017 12:37

Het zijn namelijk te veel bedrijven,
er staan geen sancties op,

Vraag maar eens aan Equifax wat de sancties zijn. Bijzonder groot bedrijf dat nu in grote problemen is en waarvan iedereen eigenlijk af wil. Een geslaagde hack kan een bedrijf aan het wankelen brengen. Dat is een veel grotere motivator dan wat voor wetgeving dan ook.

IT Veiligheid afdwingen met wetten za; nooit werken. De materie is te slipperig en te vloeibaar.

Keypunchie @Verwijderd • 23 oktober 2017 13:46

Dat is een veel grotere motivator dan wat voor wetgeving dan ook.

Je spreekt jezelf tegen. Als dat zo'n grote motivator was, waarom heeft Equifax zijn systemen dan niet goed beveiligd?

Doorgaans zie ik toch meer, zeker voor zaken die geld kosten: Pas als het kalf verdronken is, dempt men de put.

En ook: als bedrijven toch al intrinsiek gemotiveerd zijn, dan zouden ze geen bezwaar tegen wetgeving moeten hebben, dat zou geen extra last moeten opleveren...

Zoals voor alle security-zaken, geldt wat mij betreft het Russische spreekwoord: Vertrouw, maar verifieer.

[Reactie gewijzigd door Keypunchie op 22 juli 2024 21:21]

Iblies @Verwijderd • 23 oktober 2017 16:52

Een bedrijf als equifax is juist een uitstekend voorbeeld waarbij de keten dus helemaal niet precies duidelijk was. Praktisch alle data kunnen weghalen zonder dat iemand het in de gaten had.

De schade van equifax is tevens niet van materialistische aard.

Stel je eens voor dat ze zouden zijn binnengedrongen bij een voedselbedrijf, of een bedrijf bij Pernis of ander chemiebedrijf.

Het is mogelijk, en naar alle waarschijnlijkheid al gebeurt in Iran. En binnen IT gaat kennis heel snel. Wat gisteren als onmogelijk leek, kan binnen enkele jaren door een leek worden uitgevoerd bij systemen die niet zijn bijgehouden.

JoebarRC @Iblies • 23 oktober 2017 12:23

Dit is precies waar de NIS directive https://ec.europa.eu/digi...on-security-nis-directive voor opgezet is. Deze zal naar lokale wet worden omgezet in mei 2018 en de doelen zoals de critieke infrastructuur worden in november 2018 aangewezen.
Vanaf dat moment zijn er wel sancties en in ieder geval draagvlak en acties om deze belangrijke onderdelen van de gemeenschap te beveiligen.

Vlizzjeffrey 23 oktober 2017 16:53

Propoganda machina

Vs is hier zelf mee begonnen met hun stuxnet

mutley69 23 oktober 2017 21:20

De VS heeft ook in afganistan de heilige oorlog terug opgediept - Al Quaeda en IS zijn daar het gekende gevolg van - en ze waren dat al bijna 1000 jaar vergeten zie! Of hoe korte-termijn politiek op lange termijn heel veel pijn kan doen.

Op dit item kan niet meer gereageerd worden.

VS waarschuwt kritieke sectoren voor actieve hackingcampagne

Lees meer

De kwetsbaarheid van infrastructuur

IT-banen

Reacties (37)

Lees meer

De kwetsbaarheid van infrastructuur

IT-banen

Reacties (37)

Sorteer op:

Weergave: