Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Computeraanval op Saoedisch petrochemisch bedrijf moest explosie veroorzaken'

In augustus vorig jaar zou een petrochemisch bedrijf in Saoedi-ArabiŽ doelwit zijn geweest van een computeraanval die een explosie moest veroorzaken. Duizenden fabrieken wereldwijd zouden hetzelfde industrial control system draaien.

De aanvallers zouden zich gericht hebben op de Triconex Safety-controllers van Schneider Electric. Deze controllers moeten bij industriŽle systemen bij 18.000 industrieŽn wereldwijd taken als spanning, druk en temperatuur veilig afhandelen. Bij de aanval van augustus zouden de controllers voor het eerst van buitenaf gesaboteerd zijn.

De aanvallers wisten volgens onderzoekers een stukje malware bij de controllers binnen te smokkelen die eruit zag als legitieme code. Door een programmeerfout mislukte de sabotagepoging en vielen de productiesystemen geheel uit. Onderzoekers zijn nu bang dat de aanvallers hun code verbeterd hebben en in staat zijn andere industrieŽn aan te vallen.

De zaak wordt onderzocht door beveiligingsbedrijf Mandiant, een team van Schneider Electric, de NSA, FBI, Homeland Security en de Defense Advanced Research Projects Agency van het Pentagon, schrijft The New York Times op basis van meerdere bronnen die bekend zijn met de computeraanval. Nog niet duidelijk is wie verantwoordelijk is voor de aanval. De NYT legt de link met eerdere computeraanvallen op Saoedische petrochemische bedrijven in 2017, die bedoeld zouden zijn om langdurige schade aan te richten.

Begin dit jaar schreef Cyberscoop al over de aanval en volgens die site heeft de kwaadaardige code de namen Triton en Trisis gekregen. De malware zou in het rijtje van malware gericht op industrial control systems als CrashOverride in OekraÔne in 2016 en Stuxnet in Iran in 2010 passen, maar kwaadaardiger zijn omdat het specifiek op sabotage gericht is van systemen die bedoeld zijn om mensen te beschermen.

Door Olaf van Miltenburg

NieuwscoŲrdinator

15-03-2018 • 21:39

69 Linkedin Google+

Submitter: Cyber Shadow

Reacties (69)

Wijzig sortering
Een vraag van een non IT persoon...

Waarom zijn dit soort systemen uberhaupt aangesloten op de buitenwereld? waarom kan dit niet gewoon local draaien? kost het dusdanig geld meer om er letterlijk iemand heen te sturen en updates dan wel aanpassingen te maken in vergelijk met aansluiten op het internet en acces/bediening van buiten af?

Dit soort situaties wil je toch ten alle tijden vermijden? koste wat het kost? dan is een IT-er erheen sturen met de juiste backgroundchecks en kennis etc toch vele malen goedkoper?

Zou iemand mij dit uit willen/kunnen leggen svp?

[Reactie gewijzigd door p01ntl3ss op 15 maart 2018 21:55]

Ze zijn niet aangesloten op de buitenwereld.

De term "buitenaf' is een beetje dubbel en kan diverse definities hebben. De bronnen vermelden dat ze weten hoe de exploit in het interne netwerk is gekomen echter hebben ze dit nog niet naar buiten gebracht wat dat dan precies is.

Om het simpel te houden; het kon een USB stick zijn.

Uiteindelijk zul je ook je interne systemen moeten updaten / bijwerken of whatever. Op de 1 of andere manier hebben ze het dus voor elkaar gekregen om een payload binnen het afgeschermde netwerk te krijgen :)
Dank voor de uitleg.
De controllers zelf liggen op een apart netwerk wat vaak niet van buiten af te benaderen is. Echter zie je steeds meer dat de ES systemen (engineering stations) op servers draaien die remote aan te spreken zijn via het kantoornetwerk. Hiermee creŽer je de link naar de buitenwereld.

En, ja echt waar, er zijn bedrijven die voor hun procesbesturing en overige zaken 1 netwerk gebruiken. Onlangs nog een issue bij een klant gehad waar de communicatie tussen 2 controllers spaak liep omdat over dezelfde verbinding ook de camera beelden van de site gingen. En die waren remote te benaderen.

Cyber security is in de industriŽle automatisering een hot-topic momenteel en het gaat/is zelfs geÔntegreerd worden in de SIL norm.

[Reactie gewijzigd door Bastie-88 op 16 maart 2018 05:54]

Ik heb jaren zelf in de chemie gewerkt en heb nog vele ex collega's als vrienden. Toen, en ook nu, ken ik geen enkel chemisch bedrijf in BelgiŽ of Nederland waar de echte proces sturing systemen ook nog maar van ver verbonden zijn aan het internet. Geen enkel.

En inside job kan uiteraard altijd, maar een aanval van buitenaf... Onzin...
Ik kan je vertellen dat in de Oil/Gas sector, maar ook in de Chemie dit meer en meer common wordt. Je wilt deze data naar een centraal systeem trekken voor bijvoorbeeld shutdown analyses, proces optimalisaties, etc. Je zult verbaasd zijn over hoeveel bedrijven in de afgelopen jaren systemen een koppeling naar het business domein hebben gegeven om deze data te kunnen delen. Direct aan het internet? No way, maar de meeste systemen hangen via een DMZ achtige constructie aan het business domain. Dat we daardoor ook remote kunnen engineeren en de klant makkelijker kunnen helpen bij problemen zijn kleine cost savings vergeleken bij de winst die gehaald wordt door alle data te bundelen naar een centraal systeem en optimalisaties uit te voeren. Je wilt niet weten hoe snel allerlei systeem alarmen en fouten er opgelost worden als je alarmen ineens worden doorgemeld aan een centraal systeem :z

An sich niks mis met deze constructie dus, en als mensen op de vloer procedures zouden volgen kan dat ook prima. Je DCS/PLC applicatie (die je proces bestuurt) wijzigen gebeurt regelmatig via remote engineering. Het ergste wat je dan kan overkomen is een onverwachte shutdown, of economische schade door bijvoorbeeld een verkeerd product in een tank dumpen.

Je SIS applicatie, die met aparte controllers je safeguarding doet in dit soort plants zijn uitgerust met een hardware matige program key. Zet je die key niet in de juiste positie krijg je simpelweg geen nieuwe software in dat ding. Bij wat modernere systemen zijn er vaak zelfs twee keys die gezet moeten worden. Een algehele permissive en dan nog een key per controller. Bij de plant in Saudi Arabia hebben de mensen op de vloer deze keys in de program positie laten staan. Dit is gewoon luiheid van de lokale sys admin en het niet volgen van procedures als je het mij vraagt. Overigens zijn bij echt gevaarlijke applicaties die SIL4 vereisen (denk nuclear, HIPPS pressure protection voor olie/gas wells, etc) alleen hardwired systemen betrouwbaar en snel genoeg. Ik ken geen enkele controller die SIL4 kan halen.
Ik heb zelf ergens gewerkt waar ze heel streng waren op het gebied van (schijn)beveiliging en aparte (fysiek gescheiden) netwerken en systemen voor internet en het interne netwerk hadden. Daar waren dus collega's die gewoon een 2e netwerkadapter meenamen van thuis en in hun systeem prikten zodat ze op hun "werk" systemen konden internetten door de kabel van een "internet pc" in te pluggen |:(

Man man man, wat een zooi was het daar.. :X
Er waren zelfs mensen die compleet onafgeschermde accespoints inplugten op het "afgeschermde" netwerk zodat ze met laptops konden werken en waar je gewoon vanaf de straat verbinding kon maken.
En je kon er over klagen wat je wou, maar ingrijpen deden ze niet want "het valt allemaal wel mee" en "ja, jij ziet dat als IT-er, maar normale mensen weten heus niet hoe ze daar gebruik van moeten maken" |:(


Als ik daar 1 ding geleerd heb, dan is het wel dat je nooit moet onderschatten wat voor domme acties gebruikers uit kunnen halen.

(en dan heb ik het nog niet over laptops die met encryptie software voor het hele OS werden uitgeleverd, maar die BIOS niet werd afgesloten, met als gevolg dat er door de gebruikers een winXP CD in gegooid werd en windows opnieuw werd geinstalleerd zodat ze niet elke keer hun key moesten invoeren bij het opstarten) _/-\o_
ja, jij ziet dat als IT-er, maar normale mensen weten heus niet hoe ze daar gebruik van moeten maken
:N Net alsof de mensen die willen inbreken Henk en Truus van de bridgeclub zijn.
Inderdaad.. ;)
De beveiliging is erg laks bij veel bedrijven waar ik over de vloer ben geweest...
Net zoiets als (Bij een ander groot bedrijf) een "adressenboek" om personeel binnen het bedrijf op te kunnen zoeken via een webpagina direct aan de database van HR hangen, en dan de query in het URL zetten. :X

Klacht ingediend bij de afdeling die er voor verantwoordelijk was..
"ah, daar kan je toch niets mee"
Klacht bij Security neergelegd,
"ach, dat weet jij, maar normale mensen weten dat niet"
Bij alle 2 een mail naar de personen die hadden gereageerd met een screenshot met zn thuis adres, (prive) telefoonnummer, salerisschaal, BSN en bankrekeningnummer, en binnen 24 uur was de boel "offline voor onderhoud" :D

Echt ongelooflijk hoe er in eerste instantie op gereageerd werd.
Liever lui dan moe zullen we maar denken....
Bij alle 2 een mail naar de personen die hadden gereageerd met een screenshot met zn thuis adres, (prive) telefoonnummer, salerisschaal, BSN en bankrekeningnummer, en binnen 24 uur was de boel "offline voor onderhoud" :D
Dat werkt inderdaad het allerbeste. Mensen moeten eerst zelf lijden, voor dat ze gaan nadenken...
"ach, dat weet jij.."

Ja, daar wordt je toch ook voor ingehuurd, Christ Almighty...
Ik heb zelf ergens gewerkt waar ze heel streng waren op het gebied van (schijn)beveiliging en aparte (fysiek gescheiden) netwerken en systemen voor internet en het interne netwerk hadden. Daar waren dus collega's die gewoon een 2e netwerkadapter meenamen van thuis en in hun systeem prikten zodat ze op hun "werk" systemen konden internetten door de kabel van een "internet pc" in te pluggen |:(
Dat vind ik wel reden voor ontslag op staande voet.
Ik ook, als jij als gebruiker zonder toestemming IN een PC van je werk gaat zitten klooien is het wat mij betreft exit.
Net als logins en wachtwoorden met post-its op de monitor als ze daar na 1 of 2 waarschuwingen niet mee stoppen :X
Of de key van een encrypted laptop op een sticker op de laptop schrijven.. 8)7
Het personeel is denk ik nog altijd een van de grootste gevaren voor bedrijven.
En inside job kan uiteraard altijd, maar een aanval van buitenaf... Onzin...
Hou er rekening mee dat ook offline systemen geautomatiseerd geÔnfecteerd kunnen raken. Denk aan wat het doel was van Stuxnet. Alleen het ontbreken van een netwerkverbinding naar het Internet is niet voldoende beveiliging.

[Reactie gewijzigd door The Zep Man op 16 maart 2018 06:20]

Klopt maar dan is er niets veilig.. Als je fysiek aan een toestel kan is er altijd mogelijkheid om het te ontregelen, misbruiken of gewoon stuk te maken..

En dat heeft niets met slechte beveiliging te maken maar alles met bewust misbruik maken van de mogelijkheden als toegestane gebruiker...
Bedrijven/managers(/politici) vinden het wel erg handig om overal altijd bij te kunnen. Het is ook goedkoper - je kan zo tientallen FTE eruit gooien door een systeem compleet toegankelijk te maken van buitenaf. Sensoren doen het meetwerk waardoor er minder ogen nodig zijn.

Het is nog niet compleet fout gegaan, waardoor deze systemen toegankelijk blijven. Zo lang banksystemen, nuts voorzieningen, verkiezingen etc niet massaal en onontkenbaar door een kwaadwillige IT-instantie zijn gekaapt zal dit niet veranderen. Kalf -> put -> dempen.
Altijd dat makkelijke vingertjes wijzen naar managers. Alsof dat allemaal incapabele mensen zijn. Bij veel grote bedrijven staat veiligheid bij het managament centraal en helemaal niet ten kosten van fte's. Natuurlijk heb je in een management laag mensen die er minder belang aan hechten, maar daarom heb je in je management laag ook een security officer team. Die hebben vaak een groot mandaat om initiatieven tegen te houden die veiligheid in gevaar brengen.

Het is vaak de uitvoerende populatie die dit soort dingen in gevaar brengen. Die voelen zich belemmerd door allerei regeltjes omtrent security en gaan daarmee eigen op eigen initiatief dingen aan elkaar knopen als quickfix. Of maar even een usb stickje uitproberen dat ze op de parkeerplaats hebben gevonden, want hey, dat is toch al weer gauw 10 euro waard. Of zoals hierboven ook al werd aangegeven, een eigen accespointje neerzetten, etc. Door alle lagen heen zitten dit soort gaten.
Veel managers roepen dat veiligheid centraal staat, maar geven direct daarop instructies die dit totaal teniet doen, of waarbij ze impliciet ondergeschikten dwingen om de systemen beschikbaar te maken via internet.

Wat mij betreft zijn managers bijna altijd de boosdoeners, want de mensen op de werkvloer weten echt wel beter.

[Reactie gewijzigd door ArtGod op 16 maart 2018 09:03]

Dat is gewoon pertinent onwaar wat je hier schetst. Ik kom echt bij veel grote bedrijven in de olie, gas en chemie. En door alle lagen heen gaat het daar continue over veiligheid van medewerkers en van de systemen. Geen enkele manager haalt het daar ook maar in zijn hoofd om druk op security te zetten. En nemen ook echt geen beslissingen, om daar anders mee om te gaan.

Bij deze bedrijven zit er ook strikte scheidingen tussen de systemen voor aansturing en de rest van de systemen. Ook de mensen verantwoordelijk voor infrastructuur en enterprise architectuur zitten continue op veiligheid te hameren en nemen echt geen beslissingen die daar tegenin gaan.
Of maar even een usb stickje uitproberen dat ze op de parkeerplaats hebben gevonden, want hey, dat is toch al weer gauw 10 euro waard.
Denk je nu echt dat enkel vooral de "uitvoerende populatie" dit doet?

Je hebt in alle lagen van het bedrijf mensen die zich geheel niet bewust zijn van security. Alleen hoe hoger in de hiŽrarchie, hoe groter de impact (kan) zijn.

[Reactie gewijzigd door Sorki op 16 maart 2018 09:50]

[...]
Je hebt in alle lagen van het bedrijf mensen die zich geheel niet bewust zijn van security. Alleen hoe hoger in de hiŽrarchie, hoe groter de impact (kan) zijn.
Managers en directie hebben meestal/vaak geen toegang tot processcontrol ruimtes. Heb meerdere malen zelf meegemaakt dat ik als techneut wel bepaalde ruimtes in kon maar mijn managers niet. Dus je verhaal gaat vaak niet op.
Ik als IT persoon snap het ook niet. Wel is het natuurlijk zo dat ook niet connected je malware binnen kunt halen. Niet via een netwerk maar altijd nog via cd's, usb sticks etc.
Vaak zijn industriele systemen met het interne netwerk verbonden zodat alles op afstand gemonitored kan worden, handig voor support bij storingen, maar ook het monitoren van de productie. Bij deze Safety controllers kan ik me voorstellen dat het handig is om berichten te versturen in geval van storingen/dreigingen. Veiligheid van het netwerk en toegang tot deze systemen is vaak minder goed over nagedacht.
Bij veel fabrieken is de implementatie van netwerken zodanig dat ze nog windows XP industrial pc's in gebruik hebben met een antieke teamviewer incl. internettoegang voor de remote suppport. Daarnaast zijn er wellicht ook systemen die met de cloud verbinden (of nog erger, 'iot' apparaten...), waarvan het maar de vraag is hoe goed dit beveiligd is.
Ik snap ook niet dat er voor installaties met potentiele risico's voor de omgeving (en dat zijn er veel) geen richtlijnen en verplichte certificaties zijn m.b.t. de veiligheid van deze installaties, inclusief cyberbeveiliging.
Even een IT-er sturen die snel een paar background checks doet is absoluut onvoldoende. Alles met een netwerkstekker of andere netwerkbus (ja je kan ook hacken via de seriele poort) die verbonden is met het industriele netwerk moet gecertificeerd worden bij bedrijven met serieuze risico's als je het mij vraagt. En dan bedoel ik alle apparaten die met het netwerk verbonden zijn, ook de printers, netwerkapparatuur, koffiezetapparaat, chromecast, servers en pc's die hiermee verbonden zijn. Het netwerk op kantoor kan dan ook maar beter gescheiden gehouden worden van het industriele netwerk.
Vaak is het zo dat er toegang is van buitenaf omdat de plant manager bijvoorbeeld de productie wil monitoren als hij thuis is.

bij ons in de fabriek is het niet anders.. hebben we een probleem die we zelf niet kunnen oplossen dan bellen we de TD (storingsdienst) kunnen deze het niet op lossen dan komen de programmeurs erbij (indien het heel kritiek is)

dezen loggen dan remote in om iets te simuleren of te omzeilen (en desnoods aan te passen)
in dit geval is het vaak tijd = geld en elk uur niet draaien kan je (tien) duizenden euro's kosten.
hierdoor worden bij een 24/7 fabriek stops ingeplanned en het liefste zo kort mogelijk gehouden. (of er om heen gewerkt indien mogelijk)

een goed systeem laat dit niet toe.. maar in geval van "problemen" wordt het oplossen dan ook moeilijker en duurder. omdat je dus je downtime zo laag mogelijk wil houden en in specifieke gevallen kan dat dus ook betekenen dat er specialisten ingevlogen moeten worden uit het buitenland.

nu moet ik zeggen dat wij geen heel erg "boeiend" product maken.. maar in veel gevallen gaat het er niet anders aan toe.

[Reactie gewijzigd door eehbiertje op 16 maart 2018 02:12]

Stuxnet werd verspreid via USB sticks.

Er wordt vaak gedaan alsof de beveiliging bij dat soort instanties zeer streng en misschien zelfs water dicht is, maar heel vaak is dat niet. Een infiltrant die zich voor doet als schoonmaker en een USB stick die toevallig op tafel ligt omwissel of her en der USB sticks achterlaat is vaak al genoeg.

Heb zelf op plaatsen gewerkt waar militaire systemen worden ontwikkelt. Dat pretentieus gedoetje vond ik zelf zwaar overdreven. Al die checks en verklaringen en van alles is leuk en aardig, maar vaak komt het op neer dat je je personeel maar moet vertrouwen en vooral moet vertrouwen dat ze hun mondje houden. Voorbeelden A en B zijn Manning en Snowden. Probleem daarmee is dat je naar de buitenwereld misschien een leuke wassenneus op kan zetten, maar de mensen die er werken zijn vaak hoger opgeleid en die zien er recht doorheen. De mensen die de aanvallen uitvoeren zijn vaak ook slim en brutaal genoeg om daar recht doorheen te lopen.

Samen met een hoop collegas ergerde ik me sterk aan het hele bureaucratie gedoetje om ervoor te zorgen dat alles veilig is. Multimeter kapot? Gereedschap nodig? Kan je maanden op wachten tot het is goedgekeurd door 5 afdelingen en daarna bij aankomst is gecontroleerd door nog eens 6. Uit frustratie speelde we vaak het spel wie met de meest creatieve methode kon komen om alles te omzeilen. Vaak bleef het bij woorden, maar een keer niet. Een collega had bezoek van een aannemer en die moesten bepaalde dingen bespreken die op een laptop stonden. Normaal gesproken mag je dat nooit mee naar binnen nemen, maar wat deed hij? Hij begroete de mensen op de parkeerplaats, pakte de laptoptas uit de bus en deed alsof het zijn laptop was. Kon gewoon zo doorlopen, niemand bij beveiliging die zich afvroeg hoezo hij naar buiten liep zonder laptop om terug te komen met.

Wat ik wil zeggen, alles wat er omheen zit van airgapped en firewalled en encrypted en checked en bla bla bla dat is allemaal pretentieus, ik wil niet zeggen dat je het niet moet dan maar het is ook niet het eindmiddel om 100% veiligheid te bereiken. Het komt er allemaal op neer, hoe goed vertrouw ik mijn personeel en hoe goed/slim zijn zij?

[Reactie gewijzigd door SizzLorr op 16 maart 2018 03:51]

volgens mij was het de bedoeling van Stuxnet om zich te verspreiden richting Iran en hopelijk op een USB-stick van een engineer terecht te komen.
Zodra die z'n stickie in een lokale pc in zo'n installatie stopt heeft het virus het doel bereikt en dan maakt het niet uit dat die kritieke machines niet op internet aangesloten zijn.

Het is een soort 'sleeper cell' dat zich verspreidt, net zo lang tot het op een dag daadwerkelijk bij het doelwit terecht komt doordat iemand een fout maakt door een flashdrive te gebruiken die hij ook in een internet-connected pc heeft gehad.
Bijna alle DCS systemen hebben een connectie naar het interne netwerk (en dus internet) voor het gebruik van procesgegevens. Een server staat tussen deze 2 netwerken in en communicatie is sterk gelimiteerd door middel van o.a. firewalls. Een schematische afbeelding hiervan is te vinden op slide 25 van de deze presentatie.
Osisoft PI is geen DCS :+ Je linkt nu hoe een data historian in een ICS netwerk zou gehangen moeten worden.

Maar een goed voorbeeld van een ICS kan je hier vinden:
https://www.sans.org/read...ial-control-systems-36327
Slide 10
Computers hoeven hiervoor niet verbonden te zijn met de buitenwereld. Stuxnet is uiteindelijk ook terechtgekomen op pc's die geen verbinding hadden met het internet.

Mocht je wat meer willen weten over hoe dergelijke virusses verspreid kunnen worden dan is het wellicht een goed idee om te kijken naar de documentaire Zero Days.
https://www.imdb.com/title/tt5446858/

Hierin wordt besproken wat de rol was van de Amerikaanse regering in het verspreiden van Stuxnet.
Het probleem is dat er meestal geen (echte) ITer erbij staat. Voor veel mensen is een computer geen programmeerbaar toestel, maar eerder gebruikt als een extensie of verplaatsing van de hardware die ze vroeger hadden. Ik werk in de onderzoekswetenschap en veel software simuleert panelen van bijvoorbeeld PID van de jaren 70 met draai- en drukknoppen ipv de technische/wiskundige uitdrukkingen. Veel software draait ook nog steeds op WinXP en om 'upgrades' te kopen kost het nog stukken van mensen (EUR 70,000 voor een bepaalde microscoop software) of de leverancier is failliet en je kunt geen upgrade meer kopen.

En om nu honderdduizenden uit te geven aan software en hardware die (volgens de ingenieur) nog steeds "goed draait" komt er bij management niet door. Deze aanvallen zijn te zwak en niet vaak genoeg serieus genomen, als er al iets kapot zou gaan sluit management liever een "cyber"-verzekering af voor enkele duizenden per jaar dan dingen te herstellen.
Ik vraag mij ook af waarom grote, gevaarlijke industrieŽn en levensbelangrijke faciliteiten zoals water en energievoorzieningen zijn aangesloten op een wereldwijde techniek die nog volledig in de kinderschoenen staat. Computers zijn er nog niet zo lang en internet al helemaal niet. Zolang deze techniek niet is uitontwikkeld bestaat voortdurend de kans dat kwaadwillenden de wereld en hun burgers in gevaar kunnen brengen. Hier lezen wij vrijwel dagelijks over. Het is een wonder dat er nog geen echte rampen zijn gebeurd, behalve natuurlijk de verkiezing van die gek in de Verenigde Staten.
Door de usb poorten te blokkeren en/of fysiek af te schermen? Een 'simpele' process operator heeft totaal geen mogelijkheid nodig om zaken in het workstation te prikken.

[Reactie gewijzigd door dirk161 op 15 maart 2018 22:42]

door encrypted usb stick's te verplichten. wij hebben een klant waar ook alles dichtgespijkerd is, om daar een usb te gebruiken moet die encrypted zijn met bitlocker. dan is het natuurlijk mogelijk dat iemand zo'n gevonden usbstick niet formatteerd en dan encrypt, zodat het wel werkt, maar er is wel een extra drempel.
nu is dat encrypten ook meer bedoeld voor de gevoelige data die erop kan staan, maar het helpt wel om dit soort dingen te voorkomen.
Iemand heeft inspiratie gehaald uit de serie: Mr.Robot.
Eerder andersom hoor.
Dit soort geintjes zijn niet nieuw. De Amerikanen en Israelis hebben, bijvoorbeeld, bijna tien jaar geleden met Stuxnet het Iraanse atoomprogramma aangevallen door de software van hun centrifuges te saboteren. Daardoor gingen ze sneller dan anders stuk en liep het programma vertraging op.
Wat iemand zaait, zal die oogsten.

Daarbij worden ze gruwelijk ingehaald door de tijd. In het verleden waren control system relatief eenvoudig,
alleen nu blijkt dat ze ook kwetsbaar zijn.

Echter worden dergelijke apparaten aangeschaft om meerdere jaren mee te gaan waarbij 5 tot 10 jaar en langer geen uitzondering is.


Nu komen er verdchillende problemen bij. Ten eerste financieel aspect, sneller afschrijven en vernieuwen,
tweede aspect is gevaarlijker, en dat is dat de apparatuur nog complexer moeten worden ivm veiligheid, terwijl je juist eenvoud zou willen hebben.


Wat ook niet echt slim is, om zo naar buiten te brengen dat de US dit allemaal aan het onderzoeken is. Betrokkenheid zou beter op de achtergrond zijn gebleven.
Zo'n mislukte aanval is natuurlijk wel een godsgeschenk: niet de schade, wel alle waarschuwingen die je nodig hebt. De daders zullen intussen in zak en as zitten want al hun werk is nu weggegooide moeite, grote kans dat ze compleet nieuwe methodes zullen moeten ontwikkelen.

Heel goed dat dit ook met de buitenwereld gedeeld wordt opdat we ons allemaal weer iets beter beseffen hoe reŽel cyberwarfare is en dat het allang niet meer iets is van de toekomst.

Ik kan alleen maar hopen dat we in Nederland handig genoeg zijn om onszelf goed tegen dit soort zaken te beschermen, de hoeveelheid bedrijven en instellingen die schade ondervonden van de laatste golf ransomware stemt wat dat betreft vooralsnog niet erg gerust.
Dan zal de Nederlandse overheid onze IT experts toch echt meer moeten gaan betalen. Eerlijk is eerlijk, als je bij de Nederlandse overheid 5000 euro per maand kunt verdienen of bij een beveilingssoftware bedrijf (die niet gebonden is aan de balkenende norm) 15000, dan is de keuze voor veel mensen snel gemaakt, 3x zoveel geld voor hetzelfde soort werk. Dit is een probleem waar Nederland mee kampt, ja mensen kunnen het flauw noemen, maar de grote jongens aan IT talent kiezen uiteraard sneller voor een buitenlands bedrijf wat bergen geld uitbetaalt. Daarnaast werken ze dan vaak ook niet voor de overheid wat extra risico’s met zich meeneemt in de vorm van extra en zwaarder wegende verantwoordelijkheden over het algemeen belang. (Als in een fout maken en je ligt er uit, voorbeelden: Jeanine Hennis, Ivo Opstelten, Halbe Zijlstra en Fred Teeven. Allen een fout gemaakt, allen afgetreden). Tuurlijk zal bij MS een ontslag ook mogelijk zijn, maar bij de overheid maak je beslissingen voor een hele natie, waar je bijv. bij een Steam niet bang hoeft te zijn op grote problemen als je anti cheat systeem niet goed genoeg werkt bijv.

[Reactie gewijzigd door jimzz op 16 maart 2018 01:49]

Ik kan alleen maar hopen dat we in Nederland handig genoeg zijn om onszelf goed tegen dit soort zaken te beschermen, de hoeveelheid bedrijven en instellingen die schade ondervonden van de laatste golf ransomware stemt wat dat betreft vooralsnog niet erg gerust.
Ik zou er niet op rekenen. Al moet ik wel zeggen dat wij niet zoveel vijanden hebben in de wereld die ons zoiets zouden willen aandoen.
Dit nieuws heeft een vrij hoog Mr. Robot gehalte.
Toch wel een goed argument om niet zomaar alle systemen aan de buitenwereld te koppelen.
Graag even de bron (cyberscoop) lezen, het stukje op deze website laat belangrijke stukken achterwege.
Lang maar leesbaar genoeg. Misschien hebben ze een broodschrijver in dienst genomen, het leest als een roman.

Behalve dat de code zelf intrigerend zou zijn is de verspreiding een punt van aandacht. Het lijkt te zijn meegelift in driversoftware van de apparatuur, maar hoe is niet duidelijk:
Exactly how Trisis arrived on the affected company’s network remains an open-ended question. FireEye is aware of what the initial infection vector was — whether, for example, a phishing email or weaponized USB stick is to blame — but has not disclosed those details publicly.
Ik wil niet in conclusies springen, maar Iran heeft het sterkste motief iets tegen Saudi ArabiŽ te ondernemen. Gezien de complexiteit wordt door de deskundigen op een samenwerkingsverband gehint.

Dit geval, hoewel geen IOT issue, plaatst ook de toepassing van IOT weer in een ander daglicht. Zou zoiets met een maintenance release worden verspreid.
Dat is een beste lap text (catagorie tl;dr zeg maar) dus even grof gescand, maar m'n oog viel op “trilog.exe.”
Nu weet ik niet wat voor systemen ze daar precies hebben draaien, maar het zou me niet verbazen als er sprake is van die post-end-of-life winxp embedded meuk, met gesloten legacy software onder het motto: "opnieuw ontwikkelen is te duur"
Als je dit soort aanvallen daadwerkelijk wilt uitvoeren kom je ook wel op interne/air gapped systemen binnen.
Het internet heeft onze maatschappij heel erg kwetsbaar gemaakt, vooral omdat er bij bepaalde fabrikanten geen besef bestaat hoe belangrijk beveiliging is op hun apparatuur. Schneider denkt waarschijnlijk dat hun apparatuur altijd los van het internet draait, maar daar kan je niet van uit gaan, zeker niet als je sommige voorbeelden van mensen hierboven leest.

Op zijn minst moeten fabrikanten van dit soort kritieke besturingen alleen firmware toestaan die digitaal ondertekend is. Dat zou het probleem al vrijwel helemaal oplossen.

Daarnaast denk ik dat we in de toekomst veiliger besturingssystemen moeten gaan introduceren op kritieke apparatuur, zoals degene die gebaseerd zijn op een micro-kernel, zoals MINIX en Redox.

[Reactie gewijzigd door ArtGod op 16 maart 2018 09:13]

Op zijn minst moeten fabrikanten van dit soort kritieke besturingen alleen firmware toestaan die digitaal ondertekend is. Dat zou het probleem al vrijwel helemaal oplossen.
Nee, niet helemaal. Op dit moment is het zelfs niet uit te sluiten dat het ergens bij Schneider er zelf erin is geslopen. Dan zou de infectie dus het certificatie proces voor kunnen zijn. Het is een hele indirecte manier, maar wel een waarschijnlijke juist als je ofline apparatuur als doel hebt. Het virus vind dan vanzelf zijn weg naar de apparatuur, met of zonder internet koppeling.

Dit virus betekend een consequentie voor alle industriele hardware waar een software component aan verbonden is. En dan met name de hardware die gebruikt kan worden in relatie met kritische toepassingen. Even doordenkende, wat kan er niet allemaal kritisch worden wanner je het buiten haar operationele boundaries laat opereren. Denk ook eens aan iets gewoons als auto's. Die hebben niet het equivalent van een exploderende raffinaderij, maar kunnen collectief een allesbepalende chaos veroorzaken. Stel dat de driversoftware van populair merk X, Y en Z op deze manier bij de bron corrupt wordt gemaakt.
Als ik naar de website van Schneider kijk dan lijkt het dat de safety controllers worden aangestuurd / geconfigureerd worden door een PC. Die PC is natuurlijk kwetsbaar voor virussen, als die direct of indirect op het internet is aangesloten.

Volgens het artikel weet men ook hoe de infectie heeft plaatsgevonden, maar wil men dit niet prijsgeven.
Want certificaten lekken nooit...
https://threatpost.com/po...ned-realtek-071510/74217/

En state sponsered attacks hebben dus toegang tot gesignde drivers, bij alle signature schemas moet je serieus afvragen wat er aan key management gedaan worden.

En besef ook: als hef fout gaat, heb jij een probleem(ontplofte rafinaarderij) , het bedrijf dat de firmware heeft gesigned leid enkel reputatie schade.

En ook op je beveiligde apparaat kun je vervolgens acties uitvoeren die schade toebrengen.
Ik zeg niet dat het onmogelijk is, maar het wordt wel een paar orden van grootte lastiger om gesigneerde code af te leveren.

[Reactie gewijzigd door ArtGod op 16 maart 2018 14:16]

Zouden inderdaad afgeschermd moeten zijn van de buitenwereld, maar:
- er zijn business redenen om toch toegankelijk te maken: data uitlezen, optimalisering van processen, etc.
- er zijn soms ook technische redenen om met een link van buitenaf te werken: technieker die vanaf thuis werkt via VPN, personeel van de fabrikant (Schneider) die ondersteuning bieden, ...
Als je dan een groot netwerk hebt, dan kan er wel eens zoiets gemist worden.
En zelfs als je airgapped, kan men nog via USB sticks malware op je OT netwerk krijgen, zie Stuxnet.
Een bedrijf wat ook verscheidene goede beschrijvingen van ICS aanvallen heeft is Dragos. Hier hun rapport over Trisis.
Men heeft ook al libraries (SSH library in dat geval) van toeleveranciers van de fabrikanten van de PLC's besmet en zo de officiŽle downloads aangepast.
Er is tegen te beschermen, zie PERA model

[Reactie gewijzigd door Chris_147 op 16 maart 2018 09:22]

Eng nieuws, en sluit me aan met de hierboven genoemde verwijzingen naar Mr. Robot.

Nu maar hopen dat de beveiligingssystemen geupdate worden om een mogelijk, succesvol aanval af te wenden!
Iran heeft aangegeven dat ze na de aanval met stuxnet zouden terug slaan. Bij dezen.
Het is nu afwachten totdat het wel een keer lukt en er is geen sleepwet die dat kan voorkomen.
FYI Russen hebben meeste baat bij stijgende olieprijzen om hun economie uit slomp te trekken.
Nou, dat ging snel.

Even serieus, het kan ook een olieinvesteerder zijn geweest, tot zelfs de Amerikanen zelf die liever niet de concurrentie zien van frackers op de markt. Er zijn heel veel spelers op de oliemarkt, en dan niet alleen de landen die daadwerkelijk oliereserves hebben. Hold your horses.
Maar de IraniŽrs ook. En los daarvan speelt op de achtergrond de eeuwige strijd tussen Sjiieten en Soennieten.

Gezien het feit dat Rusland zich niet meer interesseert of mensen er achter komen dat zij achter een moord of aanslag zitten denk ik dat het reŽel is dat zij dit ook kunnen gaan doen.
"Gezien het feit dat Rusland zich niet meer interesseert of mensen er achter komen dat zij achter een moord of aanslag zitten denk ik dat het reŽel is dat zij dit ook kunnen gaan doen."
Alsof USA&co dit ooit interesseerde..

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True