Industriële controlesystemen zijn nog steeds kwetsbaar voor kwaadaardige cyberaanvallen





In 1982 ontdekte de CIA een complot van de Sovjet-Unie om industriële software te stelen voor de controle van het snel groeiende netwerk van aardgaspijpleidingen. Als reactie hierop heeft het bureau de software aangepast met behulp van malware die is ontworpen om de pijpleidingen te verlammen en vervolgens de Sovjets te misleiden om het te stelen.

Deze list bleek spectaculair succesvol te zijn. De Sovjets installeerden de gewijzigde software - een industrieel controlesysteem genaamd SCADA - op een Siberische pijpleiding. Nadat het enkele maanden normaal had gefunctioneerd, begon de malware de veiligheidskleppen te sluiten, waardoor de druk in de pijpleiding hoger werd dan de lassen en verbindingen konden weerstaan. Uiteindelijk explodeerde de pijpleiding en veroorzaakte de meest monumentale niet-nucleaire explosie en brand ooit gezien vanuit de ruimte, volgens de Washington Post, die het verhaal in 2004 meldde.

Dit incident is de geschiedenis ingegaan als het eerste voorbeeld van een malware-aanval op een industrieel besturingssysteem. En het vormde de basis voor een campagne van cyberaanvallen die het telefoonsysteem in het luchtverkeersleidingscentrum op de luchthaven in Worcester, Massachusetts, in 1997 uitschakelden; gehandicapte veiligheidssystemen in de kerncentrale van Davis-Besse in 2003; en vernietigde centrifuges in de geheime Iraanse nucleaire verrijkingsfaciliteit in 2010 - om maar een paar incidenten te noemen.



Sommige van deze aanvallen hebben veel publiciteit gegenereerd en het bewustzijn vergroot van de kwetsbaarheid van industriële controlesystemen. Dus elk bedrijf dat industriële besturingssoftware gebruikt, moet zich bewust zijn van de risico's en dienovereenkomstig beschermen. Maar is dat waar?

Vandaag krijgen we een soort antwoord dankzij Marcin Nawrocki van de Vrije Universiteit van Berlijn in Duitsland en collega's, die de snelheid hebben bestudeerd waarmee industriële controlesystemen onbeschermde gegevens over het internet verzenden. Hun resultaten geven een verrassend inzicht in de kwetsbaarheid van deze systemen.

Industriële besturingssystemen, zoals SCADA en Modbus, werden oorspronkelijk ontwikkeld voordat het internet wijdverbreid was. Ze zijn dus ontworpen om eenvoudig te zijn en te werken in een gesloten systeem dat niet is verbonden met de buitenwereld.



Later werd het mogelijk om de stuursignalen in het gewone internetverkeer te verpakken, zodat industriële systemen op afstand bestuurd konden worden. Deze benadering is echter geheel open. Iedereen kan internetverkeer scannen op dit soort pakketten, kijken waar ze naartoe gaan en vervolgens hun eigen commando's sturen om de controle over te nemen.

En dat is precies hoeveel van de vroegste aanvallen plaatsvonden. Hackers kunnen met behulp van een telefoonmodem inbellen op industriële controlesystemen en deze ofwel overnemen of uitschakelen.

Er is dus een hele industrie opgegroeid om dergelijke systemen te beschermen. Omdat de software zo wijdverbreid is, kan deze niet gemakkelijk worden herschreven. In plaats daarvan is de belangrijkste benadering om de opdrachten in een andere softwarelaag te verpakken die wordt beschermd met conventionele codering, wachtwoorden, enzovoort. Dit voorkomt zowel ongeoorloofde toegang tot industriële besturingssystemen als afluisteren van communicatie via internet.



Maar gebruikt iedereen het? Om daar achter te komen, bestudeerden Nawrocki en co twee databases met internetverkeer. De eerste verzamelden ze in 2017 en 2018 van een internetuitwisselingspunt (IXP). Dit is een punt waar internetserviceproviders en content delivery-netwerken gegevens uitwisselen. Het is dus meestal verkeer uit hetzelfde land.

De tweede database was een archief van onbewerkt internetverkeer tussen internetserviceproviders (ISP's) in de VS en Japan, dat is opgeslagen voor onderzoeksdoeleinden. Deze gegevens zijn uiteraard transnationaal.

De eerste taak voor Nawrocki en co was het filteren van de gegevens voor de pakketten die gericht zijn op industriële controlesystemen. Ze deden dit met een standaard pakketanalysator genaamd Wireshark, die onbeschermde pakketten onthult.



Maar er is nog een andere belangrijke filterstap. Vanwege de bedreigingen voor industriële controlesystemen zijn er verschillende projecten gestart om het internetverkeer te monitoren: het identificeren en catalogiseren van industrieel verkeer, het ondervragen van de hosts en bronnen waar nodig, en het opzetten van honeypots om kwaadwillende actoren aan te trekken.

Deze activiteit op zichzelf zorgt voor een aanzienlijke hoeveelheid verkeer in verband met industriële controlenetwerken. Dus Nawrocki en co moesten de datasets filteren om dit ook te verwijderen.

Wat er overbleef was interessant. Ze vonden meer dan 330.000 onbeschermde pakketten met betrekking tot industriële controlesystemen. In het internationale verkeer tussen ISP's vertegenwoordigde dit slechts 1,5% van het totale industriële verkeer.

Maar de situatie is beduidend slechter op lokaal niveau, waar 96% van het verkeer bestaat uit onbeschermde industriële commando's. Het aandeel (96%) van het onbeschermde industriële [Industrial Control Systems]-verkeer op de IXP is alarmerend, zeggen ze.

Het team analyseerde dit onbeschermde verkeer verder met behulp van DNS-records en whois-gegevens. Ze identificeerden een reeks bedrijven die onbeschermd verkeer verzenden, waaronder een adviesbureau voor zonne-energie, een bouwbedrijf en een handels- en transportbedrijf. Deze organisaties lopen duidelijk een aanzienlijk risico op kwaadwillende aanvallen.

Dat is interessant werk dat alarmerende niveaus van onbeschermd verkeer onthult dat industriële systemen in gevaar brengt.

Referentie: arxiv.org/abs/1901.04411 : Kwetsbare industriële besturingssystemen opsporen uit de internetkern

zich verstoppen