Zijn energiebedrijven machteloos tegen cyberaanvallen?
Stel je voor dat een van je werknemers op een link in een e-mailbericht klikt en daarmee hackers toegang tot je netwerk verschaft. Stel u voor dat je niet langer in staat bent om energie te leveren, de grip op je bedrijfssystemen kwijtraakt en aan de genade bent overgeleverd van een hacker die op losgeld uit is, of een buitenlandse mogendheid die je infrastructuur als geopolitieke speelbal gebruikt. Wat kan je in dat geval doen?
“Er is de afgelopen jaren sprake geweest van een toename van cyberspionage en sabotage-aanvallen op organisaties die vitale infrastructuren beheren, en volgens mij is het einde nodig niet in zicht”, zegt Sami Ruohonen, threat researcher bij F-Secure, de Finse leverancier van cybersecurity-oplossingen.
Hackers zijn voortdurend op zoek naar manieren om toegang te krijgen tot de netwerken van beheerders van vitale infrastructuren. Elke aanvaller heeft zijn eigen beweegredenen, technieken en tools. De gevaarlijkste hackers zijn staatshackers en cybercriminelen die op geld uit zijn.
Cybercriminelen hebben de beschikking gekregen over geavanceerde exploits van de NSA en hackerscollectieven die in opdracht van overheden werken. Deze zijn uitgelekt via het hackerscollectief Shadow Brokers en het WikiLeaks-initiatief Vault7. Cybercriminelen hebben daarnaast hun technieken geoptimaliseerd en hun witwastechnieken geperfectioneerd. Om deze laatste reden vragen ze tijdens hun ransomware-aanvallen om steeds meer losgeld.
CryptoLocker was een van de meest lucratieve ransomware-campagnes uit de geschiedenis. In de laatste vier maanden van 2013 werden er meer dan 250.000 computers met deze ransomware besmet. De makers maakten hiermee ruim 3 miljoen dollar buit, totdat het botnet Gameover Zeus, dat ze voor de verspreiding van Crypt0Locker gebruikten, door de autoriteiten werd platgelegd.
Het succes van CryptoLocker gaf de aanzet tot een reeks van geavanceerde ransomware-varianten zoals CryptoWall en TeslaCrypt. Recentelijk infecteerde LockerGoga de systemen van het internationale energie- en aluminiumconcern Norsk Hydro, waarbij het bijna alles versleutelde.
APT-collectieven proberen voortdurend om netwerken van beheerders van vitale infrastructuren binnen te dringen en daar langdurig in aanwezig te blijven. Dit doen ze voor spionagedoeleinden en ter ondersteuning van geopolitieke machtsspelletjes. Staatshackers gaan uiterst professioneel te werk. Het maakt hen niet uit of het jaren duurt om een bedrijf te hacken, zo blijkt uit nieuw onderzoek door F-Secure en Countercept.
Negen bedreigingen die het op de energiesector hebben gemunt vallen in het bijzonder op. Dit zijn:
- Operation Sharpshooter (Lazarus Group)
- APT33
- GreyEnergy (de opvolger van de BlackEnergy-groep)
- BlackEnergy 1-, 2- en 3-malware
- Industroyer Malware – ook wel CrashOverride genoemd
- Dragonfly/Dragonfly 2.0
- Havex-malware
- ICS sidechannel-aanval
- TRITON/TRISIS-malware
Uit het onderzoeksrapport “The State of the Station: A report on attackers in the energy industry” blijkt verder dat APT-collectieven uitgebreid onderzoek doen naar hun doelwit. Aanvallers hebben meer tijd dan verdedigers en trekken soms maanden uit voor het plannen van aanvallen. Ze achterhalen welke werknemers het meest geneigd zijn om voor social engineering-trucs te vallen en scannen netwerken op bekende kwetsbaarheden in de beveiliging die nog niet zijn gepatcht.
Mensen zijn en blijven de zwakste schakel in de beveiliging. Daarom zijn werknemers het favoriete doelwit van APT-collectieven. Zij verspreiden malware niet op traditionele wijze via e-mailbijlagen, maar via phishing-berichten met links naar kwaadaardige websites die op specifieke personen zijn gericht (een techniek genaamd ‘spear phishing’).
Eindgebruikers worden ofwel aangezet tot het downloaden van malware of het invoeren van hun aanmeldingsgegevens op pagina’s die voor phishing-doeleinden zijn ontwikkeld. Hackers verschaffen zich vervolgens toegang tot het productienetwerk, en vervolgens naar het netwerk dat voor het beheer van de vitale infrastructuur wordt gebruikt.
Een andere in het oog springende trend in 2018 was de ontvangst van e-mailberichten met malware door gebruikers van smartphones. Hackers verschaften zich op deze manier toegang tot het interne netwerk en/of gevoelige bedrijfsgegevens.
“Vitale infrastructuren zijn bij uitstek een interessant doelwit voor buitenlandse mogendheden, zelfs in vredestijd”, zegt Sami.
Veel operationele systemen zijn tientallen jaren geleden ontwikkeld, nog voor de komst van Stuxnet en 24/7 internetverbindingen. Cyberbedreigingen vormden toen nog geen reëel gevaar. Oude computerprotocollen en systemen werden niet voorzien van de ingebouwde beveiligingsmechanismen die we tegenwoordig vanzelfsprekend achten.
Het is niet de vraag of, maar wanneer een netwerk wordt gehackt. Energiebedrijven hebben te maken met vijanden die uit diverse motieven onder de radar opereren met behulp van steelse tactieken, technieken en procedures (TTP’s).
Energiebedrijven zijn echter niet machteloos. Ze kunnen diverse tegenmaatregelen treffen, zoals VUCA. Dit acroniem van het Amerikaanse leger en verwijst naar de volatility (volatiliteit), uncertainty (onzekerheid), complexity (complexiteit) en ambiguity (onduidelijkheid) die kenmerkend waren voor de periode na de Koude Oorlog.
Kort gezegd biedt het VUCA-kader energiebedrijven de mogelijkheid om in kaart te brengen welke externe factoren van invloed zijn op hun organisatie: wie hen zou kunnen aanvallen en waarom, en welke cruciale IT-activa een passende beveiligingsstrategie vereisen.
Sami Ruohonen van F-Secure raadt energiebedrijven daarnaast aan om met een kritisch oog naar hun beveiliging te kijken en gebruik te maken van geavanceerde technologieën zoals een managed endpoint detection & response (EDR)-oplossing.
Dit is een effectieve oplossing voor organisaties die geen batterij aan beveiligingsprofessionals willen aannemen. Het is een snelle manier voor het “fors opvoeren van de mogelijkheden voor het detecteren en reageren op geavanceerde gerichte bedreigingen die traditionele oplossingen voor endpoint bescherming weten te omzeilen”, zegt Sami.
“Managed EDR-oplossingen voorzien in 24/7 bewaking, waarschuwingen en incidentrespons. De IT-afdelingen van organisaties kunnen op deze manier detecties evalueren tijdens reguliere werktijden, terwijl een gespecialiseerd cybersecurity-team zorgdraagt voor de rest”, aldus Sami.
Categorieën