Cyberaanvallen op fysieke infrastructuren: van nation state naar lokale hacker

In de tweede helft van 2010 kwamen de details van de Stuxnet-aanvallen naar buiten. Dit was de eerste cyberaanval op fysieke infrastructuur die op grote schaal bekendheid kreeg. De wereld begon zich te realiseren hoe toekomstige cyberaanvallen eruit zouden kunnen zien. Tegelijkertijd stortten security-onderzoekers over de hele wereld zich op die informatie om te zien hoe te reageren op zo’n aanval.

Al snel werd duidelijk dat industriële controlesystemen, en de infrastructuur daaromheen, niet alleen zwaar onveilig zijn, maar ook gemakkelijk misbruikt kunnen worden. Geconcludeerd werd dat deze decennia oude systemen en technologieën niet ‘even snel’ konden worden bijgewerkt. Dit opende de deur naar een nieuw soort aanvallen.

Minder dan een decennium later staat die deur nog steeds open. Maar waar je een aantal jaren geleden de middelen en tools van een natiestaat nodig had om een dergelijke operatie uit te voeren, heeft de gemiddelde cybercrimineel tegenwoordig diezelfde mogelijkheden in handen. Na Stuxnet zijn criminele bendes zich steeds meer op industriële controlesystemen gaan richten.

Havex: natiestaat… of gewoon een crimineel?

In 2014 bekeken onderzoekers van ons Threat Intelligence team naar een van de Command en Control servers die deel uitmaakten van de infrastructuur van de malware Havex. De campagne achter de Havex trojan, ook bekend als ’Dragonfly’ of ’Energetic Bear’, stond op dat moment bekend om het verzamelen van gegevens in Europa en de VS. En werd ervan verdacht te werken met steun van een natiestaat.

Onze onderzoekers zagen dat er meerdere ICS controller software installers met trojans op de C&C in kwestie aanwezig waren (Windows-gebaseerde software om ICS-systemen te besturen, niet de firmware geïnstalleerd op de apparaten zelf). Verder onderzoek liet zien dat deze groep dezelfde trojan pakketten direct op downloadsites van leveranciers wist te plaatsen, waar nietsvermoedende slachtoffers ze zouden downloaden en vervolgens installeren. De Dragonfly-groep stond er om bekend alleen spionage-gerelateerde activiteiten te verrichten. De motieven van de groep voor het gebruik van deze installers met trojans waren op dat moment dus onduidelijk.

Later dat jaar voerde dezelfde groep een reeks spionagecampagnes uit tegen energiebedrijven in de VS en Europa. Om vervolgens kort daarna te verdwijnen. Uit verdere analyse bleek dat met ICS software die trojans bevatte, organisaties werden aangevallen om data te verzamelen van geïnfecteerde systemen. Maar ook om de topologie van het netwerk in kaart te brengen (met behulp van tools zoals fing) en als een redelijk goede verstopplek en uitvalsbasis binnen de geschonden infrastructuur.

Dat de Dragonfly-campagne banden had met een natiestaat is nooit bewezen. Maar de infrastructuur van Havex leek meer op een criminele campagne dan op een goed georganiseerde operatie van een natiestaat. Misschien werd de groep dus slechts gedoogd door een natiestaat. Vorig jaar dook de groep schijnbaar weer even op, maar uit niets blijkt dat ze nog steeds operationeel is.

Opportunistische aanvallen op fysieke infrastructuur

In 2016 reageerden de analisten van onze Cyber Security Services op incidenten waarbij industriële controlesystemen opnieuw onder vuur kwamen te liggen. Deze keer leken de motieven achter de aanvallen puur van financiële aard. Deze nieuwe campagnes richtten zich op fabrikanten en probeerden controle te krijgen over systemen van de slachtofferorganisatie of vergrendelden die systemen om vervolgens losgeld te eisen. De losgeldeisen draaiden om twee hoofdthema’s: het terugkrijgen van de controle van vergrendelde systemen, of betaling voor het niet op afstand afsluiten van fabrieksprocessen.

Het laatste scenario is een belangrijke reden voor het betalen van losgeld. Als een machine in een fabriek wordt afgesloten kan het vaak dagen of weken duren om hem weer terug online te krijgen. Dit is omdat de systemen in een bepaalde volgorde moeten werken, een langdurig proces. Wanneer een externe aanvaller een shutdown ongecontroleerd -dus niet in de juiste volgorde- uitvoert kan dat schade aan machines aanrichten. Dergelijke scenario’s resulteren altijd in zware operationele en financiële verliezen voor het slachtoffer, en misschien zelfs in schade aan machines of infrastructuur.

Een losgeld-aanval tegen het San Francisco’s Municipal Transport Agency haalde eind 2016 wereldwijd het nieuws. Minder bekend is het feit dat degene achter de aanval al eerder verschillende Amerikaanse fabrikanten succesvol had aangevallen met eenzelfde tactiek. Dit soort aanvallen haalt zelden de krantenkoppen. Toch komen ze wereldwijd vaak voor.

Wat ook interessant is aan deze aanvallen is dat ze niet heel gericht zijn. Ze zijn opportunistisch. De mensen achter dit soort aanvallen doen brede scans van het internet, op zoek naar systemen met bekende, gemakkelijk exploiteerbare kwetsbaarheden. Aanvallers zoeken via hun scanresultaten naar potentiële ‘grote vissen’. Ze werken met een lijst met prioriteiten, verschaffen zich handmatig toegang tot de systemen van de slachtoffers, implementeren de malware en eisen vervolgens losgeld.

Gezien het aantal kwetsbare, ongepatchte en verwaarloosde systemen dat rechtstreeks is verbonden met internet, is deze werkwijze zeer effectief.

Zo doeltreffende zelfs dat hele ‘ransomware-families’ zijn ontworpen om dergelijke handelingen verrichten. Petya is een voorbeeld – een familie van crypto-ransomware, die het hele systeem plat legt (via een gecodeerde MBR) totdat het losgeld is betaald. Petya is niet te gebruiken voor een gewoon consumentensysteem; je kunt het losgeld immers niet betalen als je de computer niet kunt gebruiken. Maar het is een ideaal hulpmiddel voor een grootschalige lockdown van betaalterminals, servers, controle consoles en andere bedrijfsinfrastructuur.

Vorig jaar zouden we hebben gezegd dat veel van dit soort aanvallen kunnen worden toegeschreven aan Chinese actoren. Dit jaar zien we soortgelijke campagnes uit andere regio’s, bijvoorbeeld Oost-Europa en Rusland. Deze campagnes zijn grotendeels gericht op bedrijven in zowel Europa als de VS. In veel gevallen zijn fabrikanten geraakt – waarschijnlijk vanwege de lakse cybersecurity procedures.

De drempel verlaagd

Geavanceerde cyberaanvallen hebben de neiging om te beginnen aan de top en hun weg naar beneden te werken. Eigenlijk het tegenovergestelde van ‘laaghangend fruit’. Wanneer nieuwe soorten aanvallen worden ontdekt, zijn ze meestal toe te schrijven aan zeer goed toegeruste partijen, zoals natiestaten. Deze partijen gaan om te beginnen voor het waardevolste doel. Als de TTP’s die gebruikt worden bij dergelijke aanvallen aan het publiek ter beschikking zijn gesteld, gaan ook minder georganiseerde partijen ze gebruiken.

We zien aanvallen doorsijpelen van defensiecontractanten naar banken en kritieke infrastructuur voor zware industrie, en uiteindelijk naar andere sectoren als productie, detailhandel en MKB-bedrijven. Meestal zien we deze trends in de US starten voordat zij naar Europa gaan. In 2016 werden veel gerichte cyberaanvallen gepleegd door individuen, niet door georganiseerde groepen. Als de hulpprogramma’s en methoden die voor deze aanvallen zijn gebruikt verder worden verfijnd, verwachten we dat de drempel om aan dit spel mee te doen nog verder zal verlagen. We gaan hier de komende tijd nog veel van horen.

Dit artikel is een bewerking van ons recente rapport, The State of Cyber Security 2017. Lees meer over cybersecurity-trends en -onderwerpen en download hieronder het volledige rapport.

[fsecure-eloqua name=”THE%20STATE%20OF%20CYBER%20SECURITY%202017″ url=”http://images.news.f-secure.com/Web/FSecure/%7Bd52f77ef-dd23-4871-ab9b-2ae794f4dadd%7D_F-Secure-Threat-Report-State_of_Cyber_Security_2017.pdf” description=”THE%20STATE%20OF%20CYBER%20SECURITY%202017″]