Het Cybersecurity and Infrastructure Security Agency (CISA) waarschuwt bedrijven op gebied van de stroom-, gas- en watervoorziening extra alert te zijn op dit soort cyberdreigingen. De vitale infrastructuur blijkt nog steeds heel kwetsbaar voor cyberaanvallen. Dringend wordt deze sector aangeraden de werkwijze van de cybercriminelen te bestuderen. Geheim blijft waar in de Verenigde Staten het incident plaatsvond, maar het karakter van de aanval is technisch tot in de details beschreven.
De aanval begon met een ‘spearphishing link’ waarmee het it-netwerk werd binnengedrongen. Vervolgens wist men toegang te krijgen tot een ot-systeem (operational technology) dat in de gaten houdt hoe apparaten zich gedragen. Met gewone ransomware werden gegevens op zowel de it- als de ot-netwerken versleuteld. De aanval beperkte zich tot systemen die op Windows zijn gebaseerd. Volgens het CISA kregen de aanvallers geen vat op de plc's (programmable logic controllers) die worden gebruikt om controlesystemen van industriële machines aan te sturen.
Hoewel het slachtoffer niet controle verloor over de operaties, konden bepaalde real time data niet meer worden gelezen. Uit veiligheidsoverwegingen werd daarom besloten bepaalde installaties twee dagen lang af te sluiten. Het bedrijf heeft hierdoor inkomsten verloren.
Schering en inslag
Volgens het CISA heeft het slachtoffer verzuimd om de it-systemen goed af te scheiden van de ot-systemen. De aanval bleef weliswaar beperkte tot één controle-eenheid, maar ook andere compressoren moesten worden uitgeschakeld omdat die op dezelfde pijpleiding waren aangesloten. Het CISA constateert dat het bedrijf slecht was voorbereid op een cyberaanval. Alle noodplannen waren gericht op een fysieke aanval. Personeel bleek onvoldoend te zijn getraind.
Veiligheidsexpert Ronald Prins vreest dat dit soort aanvallen schering en inslag worden. ‘Aanvallen op vitale processen gaan we nog veel meer zien,’ stelt de oud-topman van Fox-IT.
Om te kunnen beoordelen moet u ingelogd zijn: