Achtergrond

Hackers bedreigen Westerse elektriciteitsbevoorrading

Een nieuwe golf van cyberaanvallen die Europese en Amerikaanse energiebedrijven viseert, heeft het potentieel om de elektriciteitsproductie te verstoren.

 
Hackersgroepering Dragonfly valt Europese en Amerikaanse bedrijven in de energiesector aan met een nieuwe barrage van cyberaanvallen. Dragonfly bestaat al sinds 2011 maar is pas sinds kort terug actief. In december van 2015 zouden de hackers met een nieuwe aanvalscampagne begonnen zijn, en die legt Symantec vandaag bloot.
 

Doelwitten

De hackers forceerden zich een weg in de netwerken van elektriciteitsbedrijven in Zwitserland, de V.S. en Turkije. Ook bedrijven in andere landen kunnen getroffen zijn. De hackersgroepering maakt voornamelijk gebruik van phishing-aanvallen om werknemers binnen een bedrijf te overtuigen een bijlage te openen. De mails in kwestie zijn erg gesofisticeerd en werden opgesteld om specifieke doelwitten te misleiden. Denk aan mails met betrekking tot zakelijke problemen in de energiesector, of uitnodigingen voor een nieuwjaarsfeest van het bedrijf.
 
De hackers complementeren de phishing-aanvallen met de verspreiding van trojans en de infectie van zogenaamde ‘watering hole’-websites. Dat zijn sites waarvan de aanvallers vermoeden dat de kans groot is dat hun slachtoffer ze zal bezoeken.
 
[related_article id=”172130″]  
Zodra ze een voet binnen de deur hebben, verzekeren hackers zich toekomstige toegang. Ze stelen via de geïnfecteerde computer accounts en wachtwoorden, zodat ze nadien naar believen kunnen inloggen op de pc en het netwerk waarmee die verbonden is. Zoals we in een eerder stuk al aanhaalden, kunnen de hackers via een pc met wat geluk aan een administratorwachtwoord raken. Vanaf dan kunnen ze zich vrij over het bedrijfsnetwerk bewegen.
 

Sabotage

Symantec stelt vast dat de hackers in staat zijn om de controle van operationele systemen over te nemen. Zo kunnen ze in theorie sabotage plegen. Vergezocht is dat niet: Oekraïne werd eerder al het slachtoffer van andere hackers en die zorgden met succes voor een black-out in een deel van het land. Hoofdstad Kiev zat toen enkele uren zonder stroom. Een scenario waarbij een Europees land getroffen wordt door een gelijkaardige aanval, is verre van ondenkbaar.
 
Volgens Eric Chien, onderzoeker bij Symantec, plaatsten de hackers zich in verschillende bedrijven al in een positie waar ze het licht al konden uitdoen. “De enige stap die sabotage van het stroomnetwerk voorkwam, was de motivatie van de hackers”, denkt hij. Reuters sprak met Robert M Lee van Dragos Inc, dat instaat voor de beveiliging van kritieke infrastructuur in de VS. Lee was minder overtuigd van de bevindingen van Symantec. Hij denkt niet dat de hackers echt al schade kunnen aanrichten.
 
[related_article id=”172282″]  
De werkwijze van Dragonfly doet denken aan andere voorbeelden dan industriële sabotage. De aanvallers lijken te starten met het vergaren van informatie over hun doelwit. Die fase is nu achter de rug. In een tweede fase positioneren ze zich om eventuele kritieke systemen over te nemen. Zodra dat gelukt is, kunnen ze echte schade aanrichten.
 

Anonieme groepering

Welke hackers er achter Dragonfly zitten, is niet duidelijk. De groepering lijkt niet meteen te linken aan een land. De code die Symantec analyseerde bevat zowel Frans als Russisch, wat de beveiligingsexperts doet vermoeden dat minstens één van die talen gebruikt wordt om onderzoekers op een vals spoor te zetten. Het securitybedrijf merkt wel op dat Dragonfly goed weet waarmee het bezig is: het gaat om een hackersgroepering met het nodige talent.
 
Het valt op dat de hackers geen gebruik maken van zogenaamde zero-day-lekken. Dat zijn lekken in software waarvan de fabrikant nog niet de kans kreeg om ze te dichten. Heel wat hackers gaan actief op zoek naar zo’n gaten in de beveiliging. Ze bieden die dan bijvoorbeeld via een abonnementsservice aan andere hackersgroeperingen aan. Dat Dragonfly geen zero-days inzet, kan er op wijzen dat de groepering de financiële middelen niet bezit, maar het kan ook een bewuste keuze zijn om detectie te vermijden. Vaak is de oorsprong van een specifiek zero-day-lek immers te achterhalen.
 

Veiligheidstips

De succesvolle campagne van Dragonfly toont aan hoe kwetsbaar de hedendaagse infrastructuur is. Een goede beveiliging kan de gebruikte methodes opsporen en de hackers zo goed mogelijk blokkeren, maar zoals vaak is de zwakste schakel in de hele beveiligingsketen de mens. Werknemers moeten zich bewust zijn van de gevaren van phishing, alsook de kwaliteit van phishingmails vandaag. Ook het belang van een goed wachtwoord mag je niet onderschatten. Een systeemadministrator die een te kort wachtwoord kiest, of een wachtwoord hergebruikt dat misschien bij een lek ergens anders al online terecht kwam, geeft de sleutels van het hele netwerk onbewust aan de hackers. Zeker in kritieke omgevingen zoals de energiesector is zoiets onaanvaardbaar.
 
Opletten blijft de boodschap. Wees achterdochtig wanneer je mails ontvangt, zorg er voor dat je software up to date is, en kies een unieke wachtwoordzin van minstens tien tekens lang, die bij voorkeur nog enkele vreemde tekens en onbestaande woorden bevat.
 
//www.smartbiz.be/achtergrond/172130/zo-breekt-een-hacker-op-jouw-computer/

beveiligingbusinesssymantec

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600