De afgelopen week besteedden de media veel aandacht aan Industroyer, het virus dat stroomnetwerken platlegt en ook wel wordt gezien als het ‘nieuwe Stuxnet’. Wat kunt u doen om een doemscenario te voorkomen?
Industroyer is een nieuwe vorm van malware die is aangetroffen bij een hack op een Oekraïens stroombedrijf in december 2016. Industroyer, ook wel ‘Crash Override’ genoemd, richt zich op de Industrial Control Systemen die worden gebruikt voor de aansturing van operationele installaties zoals stroomnetwerken, sluizen, verkeersystemen of installaties binnen fabrieken.
Hoe werkt Industroyer?
Uniek voor de malware is dat deze bepaalde schakelsystemen – de ‘Remote Terminal Units’ (RTU’s) – rechtstreeks aanspreekt. Dat betekent dat de malware in staat is systemen zonder tussenkomst van een menselijke operator te bedienen. De malware installeert zich initieel op Windows-systemen en downloadt direct na installatie extra functionaliteit. Daarmee is Industroyer een stuk schaalbaarder dan andere malware die zich richt op dit domein. Hoe de malware is binnengedrongen in het Oekraïense stroomnetwerk, is nog onbekend. Een voor de hand liggende route is via een phishing-e-mail.
Industroyer zoekt zelfstandig naar kwetsbare systemen in de omgeving. De malware gebruikt hiervoor niet alleen netwerkscans, maar probeert ook te communiceren met apparatuur die rechtstreeks is aangesloten op de seriële poorten van geïnfecteerde systemen. Industroyer kent verschillende modules waarmee direct commando’s verstuurd kunnen worden naar doelsystemen, zonder tussenkomst van een operator.
Ook lijkt de malware een open modulair ontwerp te hebben, waarmee het zich eenvoudig kan aanpassen en zich op nog veel meer communicatieprotocollen kan richten. Nadat de malware is geïnstalleerd, kan het zijn eigen sporen uitwissen door alle bestanden op de geïnfecteerde systemen volledig te vernietigen. Deze laatste functie is mogelijk ook toegevoegd om systemen te kunnen saboteren: een methode die al vaker is toegepast bij aanvallen op elektriciteitscentrales.
Los van al deze functionaliteiten zijn er nog enkele interessante elementen te ontdekken. Zo probeert de malware na installatie actief verbinding te maken met internet en contact te leggen met een command-and-control (C&C)-server, mogelijk voor het krijgen van additionele commando’s of om informatie te versturen. Om opsporing te bemoeilijken, gebruikt de malware het Tor-netwerk om anoniem te communiceren met de C&C-server. Tevens verzamelt de malware actief netwerklogs die inzicht bieden in de operationele activiteiten.
Een ander interessant element is dat de malware zich richt op een kwetsbaarheid in het ‘digitale Siprotec protection relais’ van Siemens-apparatuur om deze door middel van een Denial of Service (DOS)-aanval buiten werking te stellen. Siprotec-systemen meten onder andere het vermogen van de verschillende onderdelen van een grid of bijvoorbeeld stroomnetwerk, detecteren risicovolle afwijkingen en bieden indien nodig bescherming door geautomatiseerd circuits in te schakelen. Als deze functie buiten werking wordt gesteld, kan het voorkomen dat eventuele oververhitting of andere onjuiste waardes niet meer worden gedetecteerd en gestopt en een volledig netwerk wordt beschadigd. Zeker aanvallen op meerdere systemen tegelijk kunnen grote gevolgen hebben.
Dit doemscenario geldt overigens alleen voor die omgevingen die niet volledig zijn gepatcht. Siemens heeft al in 2015 een update uitgebracht voor deze kwetsbaarheid. Het goede nieuws is dan ook dat Industroyer geen gebruikmaakt van 0-days. Een mogelijke besmetting is dus veelal te voorkomen met goede securitymaatregelen.
Beveiliging van operationele technologie
In generieke zin moeten we ons zorgen maken over de beveiliging van operationele netwerken, juist ook omdat Industroyer veel breder toepasbaar is dan alleen binnen stroomnetwerken. KPN onderkent al langere tijd het risico van cyberaanvallen op operationele technologie, al dan niet gecombineerd met aanvallen op de ICT, en werkt binnen dit domein samen met industry-expert SecurityMatters om organisaties in staat te stellen goede securitymaatregelen te treffen.
Een belangrijke securitymaatregel om malware als Industroyer te herkennen, is het inregelen van securitymonitoring. KPN biedt de mogelijkheid om OT- en IT-omgevingen van organisaties vanuit het KPN Security Operations Center (SOC) 24 uur per dag, 7 dagen per week te laten monitoren door ervaren security-experts. Die kunnen daarbij gebruikmaken van de SilentDefense-technologie van SecurityMatters. Zo kan afwijkend gedrag, zoals bijvoorbeeld het uitschakelen van het Siemens-relais, tijdig worden gedetecteerd en kan een organisatie passende maatregelen treffen. Naast OT-monitoring verzorgt KPN ook ICS-workshops en -assessments. Die geven deelnemers meer inzicht in de digitale dreigingen en risico’s binnen dit domein en maken een goede analyse mogelijk op de assen governance, people, process en technology.
Aanvullend op deze mogelijkheden, blijven de volgende gouden securityregels ook hier van toepassing:
1. Zorg voor goede awareness bij medewerkers
- Open niet zomaar onbekende e-mailbijlagen;
- Stimuleer medewerkers om gewenst gedrag te vertonen;
- Test regelmatig het bewustzijn van uw medewerkers en train ze indien nodig op specifieke onderdelen.
2. Patchmanagement en netwerkscheiding
Zorg waar mogelijk voor goed patchmanagement, hoewel dit vaak lastig is binnen het operationele domein;
- Controleer welke systemen (on)bedoeld een connectie hebben met internet, al dan niet voor remote beheer;
- Zorg voor een goede netwerksegmentatie, in ieder geval tussen het IT- en OT-domein.
3. ‘If you can’t detect it, you can’t protect it’
Detecteer afwijkingen en mogelijke verstoringen binnen zowel het IT- als het OT-domein om tijdig in te kunnen grijpen.
Meer weten
Heeft u vragen naar aanleiding van deze blog? Neem vrijblijvend contact op met KPN Managed Security Services.
Ik wil meer weten over security
