Hackers van industriële infrastructuur hebben het voor het uitkiezen. Uit onderzoek blijkt dat 50.000 ICS-diensten blootgesteld zijn binnen Europa en 145.000 wereldwijd.
Industrial Control Systems (ICS)-protocollen stammen veelal af van de jaren zeventig. Ze ontberen TLS, authenticatiestappen en andere moderne securitynormen. Desondanks zijn ze verbonden met het internet, veelal omdat ze op afstand bestuurd moeten worden. Denk aan systemen binnen de riolering, waterzuivering, landbouwapparatuur en fabrieken. Onderzoek van Censys laat zien hoe groot de schaal van het probleem is – bovenop het bewijs dat de echte wereld al heeft getoond.
Russische aanvallen
Het aanvallen van ICS-infrastructuur zelf vergt veel kennis over de specifieke apparatuur. Die verschilt ook enorm afhankelijk van het continent: daar waar ICS-protocollen Modbus en Siemens S7 in Europa veel voorkomen, is FOX verreweg het meest voorkomend in de VS. Laatstgenoemde wordt gebruikt voor automatisering binnen gebouwen, zoals automatische deuren en airconditioning.
Een rapport van het Amerikaanse overheidsorgaan Cyber Threat Intelligence Integration Center laat de actuele aard hiervan zien. Een Russische aanval liet een waterfaciliteit in het piepkleine Muleshoe, Texas overstromen, zonder directe schade of letsel. Echter geldt het als een niet al te opvallende proof-of-concept voor veel grotere disrupties van de infrastructuur binnen een land. Tevens werd een poging tot vergiftiging van de watervoorziening in Florida in 2021 voorkomen doordat een ingenieur destijds meekeek. Dit had wel al grote gevolgen elders: in Oekraïne legden Russische hackers een groot deel van het elektriciteitsnetwerk plat in 2016. Dit gebeurde via het zogeheten Industroyer, de ‘grootste malwarebedreiging voor kritieke infrastructuur sinds Stuxnet’, zoals ESET het omschreef.
HMI-hulp
Zoals gezegd zijn ICS-aanvallen lastig uit te voeren. Er is een gedetailleerde kennis nodig over de precieze werking van het protocol in kwestie. Ook weten aanvallers niet zomaar wat een bepaald apparaat doet, aangezien de metadata doorgaans ontbreekt over de 5G-netwerken die deze infrastructuur gebruikt. Maar HMI (Human Machine Interface) schiet hen te hulp.
HMI’s zijn grafische interfaces die gebruiksvriendelijk moeten zijn. Ook deze zijn echter vaak blootgesteld aan het internet zonder het juiste beschermingsniveau, concludeert Censys. Ze zijn vele malen vaker ingezet in Noord-Amerika dan elders (69,4 procent tegenover bijvoorbeeld 26,9 procent in Europa). De grafische aard maakt het eenvoudig voor specialisten om industriële apparatuur te controleren. Maar hetzelfde geldt voor aanvallers, die met een paar kliks met een systeem kunnen knoeien.
Vooral telco’s maken gebruik van HMI’s. Verizon valt het meest op, dat meer dan 3.000 CELLCO-PART hosts online heeft. Ook deze systemen draaien niet in de cloud, maar op 4G/5G of lokale bedrijfsnetwerken. Censys haalt aan dat dit wederom leidt tot een gebrek aan metadata. Wie precies de eigenaar van een HMI is, valt dus niet zomaar te bepalen.
Toch moderne bescherming
De onderzoekers raden aan om de oeroude protocollen van een moderne beschermingslaag te voorzien. Een uitgebreide inventarisering is van belang, evenals het voorkomen van een directe online verbinding en het gebruik van credentials die moeilijk te achterhalen zijn. Vanzelfsprekend verhoogt dit de complexiteit van het werk voor industriële ingenieurs, maar ook voor aanvallers.
Lees ook: LockBit legt haven stil: OT-aanvallen hebben reusachtige impact