'Hackers hadden toegang tot scada-systemen energiebedrijven'

Hackers hebben volgens Symantec op grootschalige wijze toegang gehad tot de systemen van diverse Europese en Amerikaanse energiebedrijven. Vooralsnog was spionage het doel, maar het beveiligingsbedrijf zegt dat de hackers ook behoorlijke schade aan hadden kunnen richten.

De hackers zouden opereren onder de vlag van een organisatie die door Symantec Dragonfly wordt genoemd. Ze sloegen naar verluidt voornamelijk toe bij energiebedrijven in Frankrijk, Italië, Duitsland, Turkije, Polen, Spanje en de Verenigde Staten. Ruim de helft van de informatie die werd buitgemaakt, betrof bedrijven in de laatste twee landen.

Dragonfly zou zich specifiek richten op scada-systemen, waarmee industriële systemen via het internet op afstand worden beheerd. Scada staat voor supervisory control and data acquisition en is een verzamelnaam voor beheersystemen voor bijvoorbeeld rioleringen, energie-opwekking, fabricage en oliepijplijnen. Tweakers schreef hierover eerder een uitgebreid achtergrondverhaal.

De hackers gebruikten voor hun spionagecampagne een zelfgeschreven trojan die op afstand was te bedienen, zo schrijft Symantec. Zij infecteerden computers van bedrijven, nadat beheerders eerst een melding kregen dat er updates beschikbaar waren voor het scada-systeem. Zo konden de criminelen niet alleen inzicht krijgen in de bedrijfsinformatie, maar konden ze in het uiterste geval ook de systemen saboteren, met alle gevolgen van dien.

De trojan, door Symantec Oldrea gedoopt, verzamelt informatie over bestanden, geïnstalleerde programma's en beschikbare drives. Daarnaast leest het programma het Outlook-adresboek en de vpn-configuratiebestanden uit op de computer, waarna het alle vergaarde informatie versleuteld naar een server verstuurt. De hackers gebruikten daarnaast nog een trojan, Karagany, waarmee kwaadwillenden wachtwoorden kunnen verzamelen, schermafbeeldingen kunnen maken en lokale documenten in kaart kunnen brengen.

De trojans belandden volgens Symantec op drie manieren op een systeem. De eerste was door een mailtje met een malafide pdf-bestand, dat van een Gmail-account afkomstig was. Daarnaast kraakten de hackers websites van energiebedrijven en plaatsten ze een iframe, die kwetsbaarheden in Java en Internet Explorer uitbuitte. Tot slot was er nog een JavaScript-code, die informatie over de browserplugins verzamelde. Vervolgens werd aan de hand van de geïnstalleerde plugins de meest haalbare exploit toegepast.

Het exacte motief van de hackers is niet bekend. Symantec denkt dat ze opereren vanuit Oost-Europa, omdat de malware met name werd gebruikt op werktijden van maandag tot en met vrijdag. De tijden kwamen overeen met een werkdag in Oost-Europa.

Reacties (52)

Outerspace Moderator General Chat + Wonen & Mobiliteit 1 juli 2014 00:52

Nog even de informatie over de backdoor en trojan: Oldrea en Karagany. Het zijn wel redelijk oude trojans, hoe oud is dit verhaal dan? Gelukkig zit Nederland niet in de top 10 van de geraakte landen, dat scheelt hier weer

Edit: Oldrea is een backdoor, niet een trojan

[Reactie gewijzigd door Outerspace op 24 juli 2024 04:15]

TryOG @Outerspace • 1 juli 2014 14:57

Backdoor.Oldrea is a Trojan horse that opens a back door on the compromised computer. The Trojan may also steal information and download additional threats.

Dus wel een Trojan. Gemierenneuk backfires.

De bovenstaande regel heb ik uit de link geciteerd die jij gepost hebt (dubbel fail?).

P.s. Hou is op met die onnodige bekritisering Tweakers. Door al dat gezeur over die kleine details hebben we in de comments bijna geen overzicht meer van het hele verhaal. Zo een dramatisch niveau van bitcherij is bijna op geen ander website te vinden)

Even ontopic: Dat trojans oud zijn maakt vrijwel niks uit doordat de eeuwenoude IPv4 protocollen nog steeds gebruikt worden. Ik kan me nog herinneren dat ProRat Pro (Een best complete trojan) rond 2005/2006 veel gebruikt werd - die trouwens ook een Reverse-IP functie had). Deze is voor hackers nog wel een paar jaar te gebruiken.

Een nieuwe maken is ook geen probleem. Als iemand een oude trojan source heeft en daar b.v. IPv6 ondersteuning in gaat coden werkt de rest van de Trojan ook weer precies hetzelfde. Oud, nieuw, maakt niet uit, je moet jezelf gewoon goed beschermen.

Als je bedoelt dat deze allang herkend zou moeten worden, Google dan even naar: how to make trojans undetectable of iets dergelijks. Je vind dan genoeg manieren (zoals hex editen, namen van functies in de source wijzigen, editen met ollydbg, etc.) om oude Trojans te gebruiken zonder dat deze gedetecteerd worden door de nieuwste updates van je favoriete antivirus-software.

[Reactie gewijzigd door TryOG op 24 juli 2024 04:15]

Verwijderd @TryOG • 1 juli 2014 19:46

Als je bedoelt dat deze allang herkend zou moeten worden, Google dan even naar: how to make trojans undetectable of iets dergelijks. Je vind dan genoeg manieren (zoals hex editen, namen van functies in de source wijzigen, editen met ollydbg, etc.) om oude Trojans te gebruiken zonder dat deze gedetecteerd worden door de nieuwste updates van je favoriete antivirus-software.

Als dit zo makkelijk was dan waren er allang vele belangrijke instanties gehackt.
Dus een beetje scriptkiddy kan een website hosten die een trojan serveert als drive by download of iets dergelijks en je hebt mensen hun pc zo besmet met malware wat niet te decteren is. Zo kun je dus makkelijk gegevens stelen etc. Zorgwekkend.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 04:15]

TryOG @Verwijderd • 2 juli 2014 10:20

Als dit zo makkelijk was dan waren er allang vele belangrijke instanties gehackt.

Deze worden ook constant gehackt.

Alleen helpt een softwarematige/hardwarematige firewall data-overdracht naar/van de hacker na besmetting te blokkeren en bepaalde heuristische methoden van antivirussen om nieuwe malware te identificeren. Veel binnenkomende en buitengaande poorten (die trojans kunnen gebruiken) zijn afgedicht indien servers een beetje aandacht hebben gekregen van de beheerder.

Maar soms helpt dit ook niet.

Voorbeelden:

- Er zijn Local/Remote DoS-exploits voor antivirussen/firewalls die ervoor zorgen dat de beveilingssoftware crasht en niet meer werkt.
- Er zijn Local/Remote Buffer/SEH/Command Execution-exploits die ervoor zorgen dat hackers codes kunnen uitvoeren doordat iemand zich heeft "beschermd" met een bepaalde antivirus/firewall.
(Deze kunnen hackers ook gebruiken om eventueel toegangsrechten te verhogen: Jij bent ingelogd als gast, hacker logt in op je account, misbruikt een lek in je beveiligingsssoftware welke meestal op Beheerders-niveau draait en is zo zelf Beheerder.)

Dus simpele logica mag je de deur uit laten indien je je goed wilt beschermen. Je moet echt je huiswerk doen. Vooral als je systemen beheert die gevoelige informatie bevatten.

[Reactie gewijzigd door TryOG op 24 juli 2024 04:15]

Verwijderd @TryOG • 2 juli 2014 15:01

[...]

Deze worden ook constant gehackt.

Alleen helpt een softwarematige/hardwarematige firewall data-overdracht naar/van de hacker na besmetting te blokkeren en bepaalde heuristische methoden van antivirussen om nieuwe malware te identificeren. Veel binnenkomende en buitengaande poorten (die trojans kunnen gebruiken) zijn afgedicht indien servers een beetje aandacht hebben gekregen van de beheerder.

Heuristische virusherkenning hebben alle virusscanners naar mijn idee wel. Maar als ik je goed begrijp is daar dus ook omheen te werken met de redenen die je in je bovenste reactie gaf: hex editen, namen van functies in de source wijzigen, editen met ollydbg, etc. Of word het dan al moeilijker?

[Reactie gewijzigd door Verwijderd op 24 juli 2024 04:15]

TryOG @Verwijderd • 3 juli 2014 00:52

Klopt, de meeste (kwalitatieve) antivirussen hebben deze functie. Vaak staat deze wel standaard uitgeschakeld (of het werkt op low of medium niveau) omdat deze de prestatie van de computer (soms zwaar) beïnvloeden.

Normale scan:
Een normale manier van scannen is bijvoorbeeld het scannen naar signatures:
Malware wordt geanalyseerd en delen die uniek zijn voor deze malware of delen van codes van verdachte functies/functies die vaak door malware worden gebruikt worden (signatures/handtekeningen) worden in een database geladen waarmee deze later ook op andere systemen herkend kunnen worden. Dit is dus vinden van en scannen naar signatures.

Het scannen met signatures gaat sneller dan bij heuristic scanning. Maar als er nieuwe malware op het internet belanden zullen deze databases in veel gevallen geen signature bevatten van de nieuwe malware.

Het ligt echt aan de malware of hex-editen of de rest van deze bypass-technieken zullen werken. Vaak hangt dit af van wat deze malware doet wanneer deze eenmaal wordt uitgevoerd. In de meeste gevallen kun je zoveel encoden, decoden, hex editen, pe editen, polymorphen, etc. als je wil maar als de acties ervan te verdacht zijn en de malware zelf totaal niet wordt herkend deze toch opgemerkt zal worden door deze gevaarlijke acties.

Heuristische scan:
Bij heuristics is het vaak zo dat als een potentiele bedreiging niet herkend wordt met de signature database deze uitgevoerd wordt in een sandbox (een afgeschermd plekje die de antivirus aanmaakt).
De antivirus bekijkt de gevolgen van het uitvoeren van het bestand zonder dat deze je computer schaden (althans, dat is het idee erachter.).

Na de scan worden de gevolgen afgewogen en indien er bepaald is dat het gevaar groot genoeg is wordt de gebruiker gewaarschuwd dat het bestand een potentieel gevaar is.

Voorbeelden van manieren van heuristic scanning zijn, kijken naar.of het bestand:
- gevoelige delen van de besturingssysteem wil wijzigen/infecteren, zoals het injecteren of wijzigen van code in explorer.exe. (Deze wordt opgestart bij het opstarten van Windows en wordt gebruikt om de vensters en bestanden op je computer te weergeven)
- het register wijzigt op plekken die gevoelig zijn (bijvoorbeeld het toevoegen van ongecertificeerde drivers, deze techniek wordt ook vaak door rootkits gebruikt.).
- abnormaal veel kopieën maakt van zichzelf. (zoals een worm die al je foto's infecteert.)
- zichzelf verwijdert of verbergt.

Bypass-methoden:
Deze manier van scannen kan gebypassed worden door o.a.:
- potentiele geheugenlekken/onveilige functies in een antivirussoftware te misbruiken. (Bijvoorbeeld d.m.v. buffer overflows/crashes, enz.)
- herkenning van de sandbox te implementeren in de malware en het vertrouwen te laten winnen door de malware zich schuil te laten houden (dus in deze situaties geen verdachte acties laten ondernemen zoals het infecteren van bestanden) en de malware-specifieke acties alleen ondernemen wanneer het zich buiten de sandbox bevindt.
- door de sandbox zelf te bypassen en i.p.v. de neppe locaties in de sandbox de echte locaties te infecteren. Vaak zullen de schadelijke acties dan buiten de scope van heuristische scans vallen en de antivirus het gevaar niet zien.

Het is soms echt een kat en muisspel.

[Reactie gewijzigd door TryOG op 24 juli 2024 04:15]

Verwijderd @TryOG • 3 juli 2014 02:24

Bedankt voor de uitgebreide informatie.

Het lijkt mij verstandig om osx of linux (Ubuntu) te gebruiken inplaats van windows. Windows heeft een gigantisch marktaandeel en daar zijn ook zowat alle virussen voor geschreven.

Voor zover ik het weet moet je bij osx eerst je wachtwoord invoeren voordat je iets van malware kunt installeren, hetzelfde met ubuntu.

Of denk ik nu te simpel?

TryOG @Verwijderd • 3 juli 2014 18:00

Google naar: OS X Keychain Certificate Security Bypass en je zult zien dat er ook een bypass beschikbaar is (geweest en het vast wel weer zal zijn) voor deze beveiliging. De UAC van Windows is ook lek (geweest en het vast ook weer zal zijn.)

Bij normaal surf-/mailwerk is OS X of Linux inderdaad iets veiliger omdat de meeste malware gericht zijn op de mainstream (Windows-) gebruiker. Maar indien veiligheid een prioriteit is voor de thuisgebruiker is het belangrijk dat onnodige services niet draaien en poorten die vanaf het internet bereikbaar zijn en dit niet hoeven gedicht worden. Een goede antivirusscanner en firewall installeren en het systeem up-to-date houden is ook een zeer verstandige keuze.

Dit geldt voor (bijna) alle besturingssystemen.

Bij Windows zou ik ik bij iets verdachts ook een malware-scanner (of meerdere) gebruiken zoals ComboFix en of Malwarebytes Anti-Malware (waarbij het wel handig is om de anti-virus uitschakel tijdens het scannen met deze software. Anders blokkeren de scanners elkaar wanneer ze beide wat detecteren.)

Ook geldt voor alle besturingssystemen dat de gebruikers moeten leren hoe ze hun computer veilig kunnen gebruiken (zoals het niet blind openen van bijlagen/mails/url's en niet bij alles op Ja te klikken zonder gekeken te hebben waar deze knop of antwoord voor dient.). Hackers gebruiken niet alleen maar malware-installaties om hun doelen te bereiken.

Verwijderd @TryOG • 3 juli 2014 20:06

Google naar: OS X Keychain Certificate Security Bypass en je zult zien dat er ook een bypass beschikbaar is (geweest en het vast wel weer zal zijn) voor deze beveiliging. De UAC van Windows is ook lek (geweest en het vast ook weer zal zijn.)

Voorzover ik het begrijp kun je dit alleen misbruiken door een man in the middle attack. aangezien de certificaten vervalst/bypassed kunnen worden als je bijvoorbeeld inlogt in je gmail.

dit is iets anders dan bv malware op mijn osx systeem.
Of begrijp ik dit verkeerd?

[Reactie gewijzigd door Verwijderd op 24 juli 2024 04:15]

TryOG @Verwijderd • 10 juli 2014 12:33

Ja, dat klopt. Maar met malware kan die lek misbruikt worden door zonder fysieke aanwezigheid een man-in-the-middle aanval op te zetten.

Malware start dan op als service, driver of onderdeel van het besturingssysteem . Hierna wordt je verbinding afgetapt indien je op een server inlogt. Diepe keyloggers en trojans kunnen goed werken voor lokale data (en niet alleen bij het inloggen op je OS, maar ook op alle andere formulieren waar je je inloggegevens invoert). Ook kunnen je inloggegevens gedumpt worden met juuso´s keychaindump software.

Extra beveiligingen kunnen omzeild worden met de eerder genoemde technieken.

Bij fysieke aanwezigheid kunnen cold boot aanvallen ook een leuke techniek zijn voor gemotiveerden.

Dus het maakt niet uit of je eerst je gegevens invoert en dan pas malware installeert. Eenmaal malware op je pc en je bent niet meer veilig. (Bij extreme pech kun je ook besmet worden via PXE trouwens :-) )

Kain_niaK 1 juli 2014 01:47

De kwestbaarheid van scada systemen kan ooit wel tot een groot probleem leiden.
Als je 10 minuutjes op shodanhq rond zoekt kun je duizenden systemen vinden die gewoon open en bloot aan het internet hangen. Op de meeste kun je alleen maar dingen zien en niks regelen maar toch ... waarom moet zoiets nu perse aan het internet gehangen worden eventueel met een wat NAT en een port forward?

Koelkast met een internet verbinding? Prima moet jij weten.
Industrieel koelsysteem van een heel hotel achter een router en de port forwarden zodat een of andere pipo thuis lekker alles in de gaten kan houden? Waarom in godsnaam?

Het grootste gedeelte van deze kwetsbaarheden komt gewoon omdat mensen te makkelijk zijn. Het werkt punt uit ... de rest is minder belangrijk want och ... wie is er nu in onze troep geïnteresseerd?. T'is maar een stomme ventilator ergens diep diep in de kerncentrale. Maar we willen natuurlijk wel vanuit elke plaats in de wereld kunnen zien hoeveel RPM ie draait.

En uiteraard is dat natuurlijk ook de hele functie van die scada systemen. Maar zoals Dreeke hieronder uitlegt is er ook een juiste manier om ze aan het internet te hangen zodat je ze niet rechtstreeks kunt zien en aanspreken. Daar gaat het om.

[Reactie gewijzigd door Kain_niaK op 24 juli 2024 04:15]

Lethal @Kain_niaK • 1 juli 2014 07:12

Omdat die '1 of andere Pipo' van bijvoorbeeld Carrier misschien wel 1000 storingsmeldingen per dag krijgt en daarvoor niet heel Nederland door hoeft te rijden, maar van achter zijn buro kan beoordelen wat de urgentie is van de storing.

Als je niet weet waar je over praat stel dan n vraag ipv klakkeloos te reageren.

Verwijderd @Lethal • 1 juli 2014 07:38

Het is de functie van een SCADA systeem om alleen de ernstige fouten door te laten escaleren naar een operator. Ook daar zijn technieken voor om dit te optimaliseren zodat er ingegrepen kan worden.

En er zijn geen technische oplossingen om dit zo te verzorgen dat je de boel niet via het internet hoeft aan te sturen? Dedicated ISDN lijntje met callback functie? Die techniek is al bijna antiek maar werkt nog steeds vlekkeloos. Of op zijn minst een whitelist voor een NAT server.
Je PLC/SCADA systeem niet in een DMZ zetten en in hetzelfde netwerk segment te zetten waar ook werkstations ook een internet connectie hebben waar ook nog eens een browser op staat met Java aktief.
Als je dan te beroerd bent om in dit soort tech te investeren geeft dan al aan dat je geen zier om de veiligheid van het systeem geeft. Dit zijn zeer amateuristische fouten die niet gemaakt mogen worden en getackled horen te worden in het risicoprofiel van een project.

Lethal @Verwijderd • 1 juli 2014 07:53

klopt :-) daar heb je ook helemaal gelijk in en de meeste professionele bedrijven werken ook zo.. (gelukkig)

het zijn denk ik vaak de gebruikers die viewers lukraak op pc's installeren.

Verwijderd @Lethal • 1 juli 2014 09:17

Dat soort gebruikers horen dat helemaal niet te mogen. Een beetje BOFH zorgt met profielen dat die workstations dichtgetimmerd zijn.
En gebruikers die wel die vrijheid krijgen moeten weten dat als ze hiervan misbruik maken en onnodige risco's nemen dat ze hierdoor op staande voet ontslagen kunnen worden.

Stoney3K

Hackers

@Verwijderd • 1 juli 2014 09:35

Dat soort gebruikers horen dat helemaal niet te mogen. Een beetje BOFH zorgt met profielen dat die workstations dichtgetimmerd zijn.
En gebruikers die wel die vrijheid krijgen moeten weten dat als ze hiervan misbruik maken en onnodige risco's nemen dat ze hierdoor op staande voet ontslagen kunnen worden.

Dat gaat toch een beetje lastig als je gebruikers ook de klanten zijn die je installatie afnemen.

Er zijn toch zat industriële installaties waarvan de user-interface gewoon op een (Windows) PC draait, en waar de gebruikers zelfs gewoon een USB-stick in kunnen duwen om hun eigen programma's en gegevens op op te slaan.

Denk aan dingen als CNC-machines waar je ook je eigen technische tekeningen naartoe wil kunnen sturen.

Aan de andere kant wil je dat de monteurs van de service-afdeling wel bij alle onderdelen van de installatie kunnen, soms zelfs zonder de installatie stil te hoeven leggen. En niet elke service-monteur is ICT-technisch genoeg onderlegd om eventjes een profiel of policy ongedaan te maken voor een service-actie, om het vervolgens weer op slot te zetten zodat de klanten er niet bij kunnen.

Daardoor worden policy's en andere beveiligingsmechanismen vaak alleen als een hindernis gezien (vooral als er een storing is en je het wachtwoord van 863.297 klanten moet bijhouden), dan als iets nuttigs. En een hele service-afdeling van elektromonteurs op gaan leiden in de ICT, kost veel tijd, en dus geld.

brick5492 @Lethal • 1 juli 2014 09:54

Maar waarom dan zo makkelijk via internet? Waarom niet dat bijvoorbeeld de data van een energiecentrale elke seconde naar een rechieve only pctje wordt gepushd dat geen rechten binnen het systeem heeft (en dus alleen kan ontvangen wat de niet aan internet liggende main computer uitzend) welke weer uitzend naar de ICT'er z'n PC? Ik zeg niet dat dit de oplossing is maar zoiets zou wel kunnen werken.

Kain_niaK @Lethal • 1 juli 2014 10:27

Ik zeg ook niet dat er niet gebruik gemaakt mag worden van deze functie van scada systemen maar doe het op de manier die Dreeke fixed uitlegt. Het is wat lastiger maar dan hangt je systeem tenminste niet open en bloot aan het internet. Stel je voor straks met IPv6 verdwijnt NAT ook nog langzaam. Dan kan zomenteen elke grasspriet rechtstreeks aangesproken worden. Dat wil je gewoon niet.

Dreeke fixed @Kain_niaK • 1 juli 2014 07:08

Ik werk met deze systemen, en het is eigenlijk heel simpel:
ICT systeem beheerders zij niet geintereseerd in de veiligheid van een fabriek want dat is geen ICT. Deze fabriek moet van thuis gemonitored kunnen worden voor storingen want hiervoor is 24/7 support maar niet on-site. Dus het scada systeem moet via het ICT systeem naar buiten, maar het scada systeem wil je niet beheerd hebben door de ICT afdeling want deze snappen niet hoe je zo'n systeem moet opzetten (dit snappen ze natuurlijk wel als ze er moeite voor zouden doen, want zo ingewikkeld is dit niet).
Je moet de eigenwijze lui van ICT en de eigenwijze lui van de scada bij elkaar zetten en dit oplossen. Iets maken met 2 fysiek gescheiden netwerken (geen virtuele lan ...) ertussen een switch, een inbel PC aan de ICT kant die netjes wordt geupdate, klaar. Windows scada systemen worden eigenlijk niet geupdate dus deze zitten vol met gaten, de reden hiervoor is dat deze systemen niet meer werken als de verkeerde updates worden geinstalleerd.

Stoney3K

Hackers

@Kain_niaK • 1 juli 2014 08:44

Koelkast met een internet verbinding? Prima moet jij weten.
Industrieel koelsysteem van een heel hotel achter een router en de port forwarden zodat een of andere pipo thuis lekker alles in de gaten kan houden? Waarom in godsnaam?

Omdat je dan niet elke maand een monteurtje langs hoeft te sturen die een inspectierapportje maakt van de installatie, alleen maar om te kijken of het ding nog goed draait?

En om te voorkomen dat een klant pas een boos telefoontje gaat plegen, midden in de nacht, als de boel stuk is? Omdat je een storing niet aan hebt zien komen?

De grootste drijfveer achter automatisering is altijd tijdsbesparing geweest. Want tijd is nu eenmaal geld, en een monteur die aan het controleren is of iets nog werkt, kan niet nuttig worden ingezet om een werkelijk probleem aan te pakken.

Venator

1 juli 2014 01:06

Daarnaast leest het programma het Outlook-adresboek en de vpn-configuratiebestanden uit op de computer, waarna het alle vergaarde informatie versleuteld naar een server verstuurt.

Ik mag hopen dat geen van de energieleveranciers een KA-applicatie op een plant-systeem draait. Dat zou op zichzelf al zeer onzorgvuldig zijn. Normaliter hoort je plant en plant-information niet zo maar toegankelijk te zijn, zoals hier wel geschetst wordt. Meer hierover wordt o.a. beschreven op https://www.isa.org/isa99/ en qua implementatie is http://www.cisco.com/c/en...E_chapter6.html#wp1043490 wel een aardige leidraad (voor de luie lezers: plaatje)

sanderv @Venator • 1 juli 2014 01:23

Het zou allemaal zeer onzorgvuldig zijn, maar er zijn voldoende financiële, culturele, menselijke omstandigheden te bedenken waardoor het toch gebeurt. Het heeft nu eenmaal niet altijd de hoogste prioriteit...

Verwijderd @sanderv • 1 juli 2014 01:35

Dat krijg je dus als je spullen aan het internet knoopt waar het nooit voor ontworpen is.
Blijkbaar moeten er eerst zeer harde lessen geleerd worden voordat men eindelijk de moeite tijd en vooral geld gaat nemen om de boel op orde te krijgen.

_Peter2_ @Venator • 1 juli 2014 07:50

Het Scada-systeem zal zelf wellicht niet direct aan het internet hangen, maar als de PC van een beheerder gecompromitteerd wordt kan via die PC (die trusted is) weer een stapje verder worden gepenetreerd in het netwerk.

Met name de Trojan kan daarbij zijn werk doen om de wachtwoorden te verzamelen voor toegang tot het Scada-systeem (of voor toegang tot een systeem dat toegang geeft tot het Scada-systeem).

[Reactie gewijzigd door _Peter2_ op 24 juli 2024 04:15]

Wampa1 1 juli 2014 07:52

Als het inderdaad zo blijkt te zijn dat het weer uit Oost-Europa komt, vraag ik me toch echt af hoe het komt dat die gasten daar zo goed erin zijn. Krijgen ze al hack-training mee vanaf de kleuterschool ofzo?

JeroenH @Wampa1 • 1 juli 2014 09:00

Als slimme mensen geboren worden in een land waar ze weinig legale kansen hebben, dan is het pad naar de criminaliteit gauw gevonden, en vanachter je computer loop je minder risico dan als je Lexussen in Nederland gaat stelen. In sommige oost-europese landen zijn grootschalige glasvezel-uitrolprojecten bezig (soms mede gefinancierd met EU-geld). Verder staat de cyberwetgeving in die landen veelal vaak nog in de kinderschoenen.

Met die factoren in het achterhoofd is het misschien niet zo gek.

Verwijderd @JeroenH • 1 juli 2014 09:46

Die worden ook vaak door de maffia geronseld voor hand en spandiensten. Voor hun is cybercrime een extra manier om geld te verdienen. Of ze nou een kroegbaas afpersen of een energiecentrale. Geld is geld.

Milmoor

@Wampa1 • 1 juli 2014 08:35

Om iets nieuws te vinden moet je geniaal zijn. Om iets na te maken is goed zijn genoeg. Het was al bekend dat dit kon dankzij Stux...

MrMonkE 1 juli 2014 00:56

Misschien heeft nederland het gewoon (nog) niet waargenomen of zijn we niet interessant of.. of zijn wij het land dat de hacks heeft gedaan

Splorky @MrMonkE • 1 juli 2014 08:40

Hoe meer er intelligente energiemeters gebruikt worden hoe meer schade je kan aanrichten. (een van de engelstalige landen zal wel weer naar rusland gaan wijzen als het serieus gaat worden)

Standeman @Splorky • 1 juli 2014 09:09

Wat moet je met 'intelligente energiemeters' als je een hele centrale de soep in kan laten draaien?

[Reactie gewijzigd door Standeman op 24 juli 2024 04:15]

Aardwolf

@Standeman • 1 juli 2014 09:28

Slimme meters kon je op afstand toch ook afsluiten? Dus alle huishoudens in de soep laten draaien door elektra-afname af te sluiten.

Jasper Janssen @Aardwolf • 1 juli 2014 09:34

Over het algemeen hebben dat soort dingen geen afsluiters, alleen meters. Het afsluiten van een 40A stroom is nl best wel duur in termen van de fabricagekosten van dat soort crap.

http://www.youtube.com/watch?v=dm-yZ1N3xmc (UK 3 phase smart meter)

flux_w42 @Jasper Janssen • 1 juli 2014 20:57

De meeste slimme meters hebben wel de mogelijkheid om electriciteit af te sluiten hoor. Ook in Nederland.

Aardwolf

@flux_w42 • 2 juli 2014 02:10

Pcies, dat is ook wat mij is verteld. Dat zou o.a. 1 van de voordelen moeten zijn van zo'n slimme meter... haha. Dramatisch spul.

Jasper Janssen @flux_w42 • 2 juli 2014 13:33

De engelse meter die op mijn link wordt geteardownt heeft dat dus niet.

Even een random selectie van een meter in Nederland:

http://kamstrup.nl/media/7443/file.pdf

Een breaker is een *optie*. Er is sprake van geweest dat slimme meters in nederland die optie zouden krijgen, maar dat is inmiddels van de baan.

flux_w42 @Jasper Janssen • 8 juli 2014 21:50

De EDMI meter uit je youtube link is al een semi-industriële meter. Die kan stromen meten tot 100A. De breakers voor zo'n verbruikers zijn idd duur (en groot en zwaar

).

Maar voor zover ik weet hebben de slimme meters die gebruikt worden in Nederland (in proef projecten alleszinds) wel een breaker.

De breaker dient trouwens niet om mensen effectief zonder stroom te zetten als de rekening niet betaalt word of zo, dat is onwettig. Voor wanbetalers bestaat er een budget meter. Het is veeleer de bedoeling om leegstaande huizen, zonder actieve energie aansluiting dus effectief af te schakelen, zonder dat er een technieker langs moet komen.

mashell @Aardwolf • 1 juli 2014 13:49

Slimme meters kon je op afstand toch ook afsluiten? Dus alle huishoudens in de soep laten draaien door elektra-afname af te sluiten

Blackout van Marc Elsberg is een spannend boek over precies dat onderwerp.

Damic @Standeman • 1 juli 2014 09:39

Omgekeerde werking energie net, stel je sluit alle slimme meters af die energie dat de centrale aan het opwekken is kan niet ineens ergens anders verwerkt worden, centrale heeft tijd nodig om bij geregeld te worden. Dit gebeurd wel vrijsnel maar toch een paar GW ergens verstoken is niet handig.

Proxx @Splorky • 1 juli 2014 10:06

China... ze wijzen naar china =]

3DDude 1 juli 2014 00:57

Nouja er is niet bekend wat ze wilden doen:
Maar als ik een paar aannames doe..
- Je doet zo'n uitgebreide hack, niet puur voor ' de lol'
- Die ene trojan was om informatie verzamelen, dus ik gok informatie doorverkopen? (kan wellicht nuttig zijn? voor andere partijen? bedrijven? terroristen?)
- Trojan2: Moest daadwerkelijk wachtwoorden onderscheppen enz: ik gok controle krijgen over de systemen maar de vraag is dus waarom ? De boel platleggen?

[Reactie gewijzigd door 3DDude op 24 juli 2024 04:15]

Brazos @3DDude • 1 juli 2014 09:18

- Je doet zo'n uitgebreide hack, niet puur voor ' de lol'

Roem? Als je dit voor elkaar krijgt heb je drie partijen die flink geld voor je willen neerleggen; Energiebedrijven, software ontwikkelaars, en overheden.

- Trojan2: Moest daadwerkelijk wachtwoorden onderscheppen enz: ik gok controle krijgen over de systemen maar de vraag is dus waarom ? De boel platleggen?

Ik neem aan dat de systemen die de boel regelen niet een reguliere Windows computer is aan een internetlijn, maar een PLC aan een externe computer. Mogelijk wou men met die wachtenwoorden controle krijgen over de PLC's. Beetje netwerk kennis is dan onontbeerlijk.
En zelfs al zouden ze de computer kunnen binnendringen die eraan is aangesloten, dan is succes nog niet verzekerd.

- Die ene trojan was om informatie verzamelen, dus ik gok informatie doorverkopen? (kan wellicht nuttig zijn? voor andere partijen? bedrijven? terroristen?)

Denk dat verkopen allemaal iets teveel aandacht trekt. Gok dat het overheidsmedewerkers betreft die hiermee een wapen in handen hebben. Het uitschakelen van een energienetwerk is al sinds de koude oorlog een geduchte strategie. De Russen bouwen continu aan hun "hack kennis" zoals met het hacken van Amerikaanse drones in Iran onlangs. Dit zal denk ik gewoon onderdeel zijn van een defensie programma.

[Reactie gewijzigd door Brazos op 24 juli 2024 04:15]

aileron 1 juli 2014 01:54

Sinds Snowden kijk ik nergens meer van op, dus hier mijn vermoedens:

Ik vraag me af of men stuxnet heeft reverse engineered om dit voor elkaar te krijgen. Dat zou namelijk een ontzettend grote backfire zijn. Symentec heeft het er zelf ook over:

This campaign follows in the footsteps of Stuxnet, which was the first known major malware campaign to target ICS systems. While Stuxnet was narrowly targeted at the Iranian nuclear program and had sabotage as its primary goal, Dragonfly appears to have a much broader focus with espionage and persistent access as its current objective with sabotage as an optional capability if required.

Usual suspects zijn dan wel weer Rusland en China, dragonfly klinkt als iets dat met China te maken heeft, Karagany kent zijn oorsprong in het oude persie en Oldrea klinkt weer Russisch.
Samenwerkingsverband? Of is de keuze voor deze namen puur toeval?

Sinnergy @aileron • 1 juli 2014 11:06

"De trojan, door Symantec Oldrea gedoopt"

Weet niet of die andere namen door hun gekozen zijn, maar Oldrea in ieder geval wel.

Dus ik zou niet teveel waarde hangen aan de gekozen naam.

Verwijderd 1 juli 2014 01:47

Doet me denken aan dit topic: http://tweakers.net/reviews/2465/scada-beveiliging-een-structureel-probleem.html
Standaard wachtwoorden....

JeroenH 1 juli 2014 07:03

Voor iedereen die geïnteresseerd is in deze materie kan ik de roman Blackout aanraden. Fictief, en sommige beschreven gevolgen vind ik niet helemaal geloofwaardig, maar wel indringend. Dit boek zou je ook aan het nadenken moeten zetten over het zomaar grootschalig invoeren van de "slimme" meter.

Verwijderd 1 juli 2014 07:29

Grootste probleem is gewoonweg geld. Het kost (te) veel geld voor bedrijven om systemen op te zetten die niet aan het internet hangen en waarvoor dus onsite support voor nodig is. ALs ze aan internet hangen, kunnen ze op afstand beheerd worden voor meerdere locaties, maar zijn de beveiligingsissues veel groter. En dan heb je managers, die vaak niet inzien hoe gevaarlijk het is om te bezuinigen op beveiliging, en te weinig verstand van zaken hebben om hier echt goede beslissingen over te nemen.

Op dit item kan niet meer gereageerd worden.

'Hackers hadden toegang tot scada-systemen energiebedrijven'

Lees meer

De kwetsbaarheid van infrastructuur

Scada-beveiliging: een structureel probleem

Reacties (52)

Sorteer op:

Weergave: