image

Hackers infiltreerden energiebedrijf via Windows-lek

woensdag 9 september 2009, 16:47 door Redactie, 10 reacties

Toen een Amerikaans bedrijf opeens allerlei willekeurige administrator accounts zag verschijnen die aan het interne netwerk werden toegevoegd, wist het dat er iets mis was. Niet alleen wisten de aanvallers een werkstation volledig over te nemen, ook het Supervisory Control And Data Acquisition (SCADA) systeem liep uiteindelijk risico. Het begon allemaal met een e-mail die een werknemer ontving. Het bericht adverteerde een gezondheidsplan voor gezinnen met meer dan twee kinderen. De werknemer had er drie. Tevens was er een kwaadaardig .chm bestand als bijlage toegevoegd. De bijlage downloadde na geopend te zijn vervolgens aanvullende malware, waarmee aanvallers volledige toegang tot de machine hadden.

Zero-day
De computer bevond zich op hetzelfde segment als de SCADA controllers. Daar bleef het niet bij, want de aanvallers gingen van dit netwerk naar de domain controller. "Wat begon als een vreemde aanval waarbij mensen niet konden begrijpen waarom de willekeurige administrator accounts aan het interne netwerk werden toegevoegd, deed ons twee en een halve dag later realiseren dat de primaire domain controller in het systeem, wat met alle wachtwoorden en user accounts de sleutel tot het systeem is, via deze zero-day aanval gehackt was", zegt Rohyt Belani van de Intrepidus Group.

Het bedrijf onderzocht de aanval, die MS07-029 gebruikte om binnen te komen. "De aanvaller had een probleem; hij had systeemtoegang via een onbekende zero-day exploit. Maar aanvallers moeten toegang blijven houden en maken zich zorgen dat hun exploits het systeem instabiel maken of dat die gepatcht wordt. Daarom maakten ze de andere accounts aan." Uiteindelijk voerde het energiebedrijf verschillende maatregelen door, zoals het gebruik van een proxy om te voorkomen dat werknemers met willekeurige sites verbinding maken en het scheiden tussen kritieke netwerksegmenten en het internet.

Reacties (10)
09-09-2009, 17:06 door Anoniem
Dan hadden de beheerders maar op Norton Anti-virus moeten vertrouwen. Aanbevolen door minister Ballin.
09-09-2009, 17:33 door Anoniem
Uiteindelijk voerde het energiebedrijf verschillende maatregelen door, zoals het gebruik van een proxy om te voorkomen dat werknemers met willekeurige sites verbinding maken en het scheiden tussen kritieke netwerksegmenten en het internet.

Waarom gebeurde dit nu nog niet? Kritische systemen moeten niet naar het internet kunnen, en als het moet, zeeeeeeer beperkt.
09-09-2009, 17:47 door Thijzzz
proxyserver helpt niet tegen hackers, via mail komt spul binnen, en strooi met usb-sticks en kip ik heb je.
daarnaast hoeft er maar een legitieme website gekraakt te worden, en daar gaat je zorgvuldige proxy-blacklist.

via html-encapsulation, zoals www.logmein.com gebruikt, kan er vervolgens via alle firewalls van de wereld gewoon over poort 80 gecommuniceerd worden.

Het probleem hier was dat een user onder admin-cred's werkte, en zijn bak dus volledig weggaf aan de hacker.
Dat deze vervolgens ongestoord aan het SCADA systeem hangt is ook een dikke blunder.

Erg mooi dat de damage-controller zo vaak "onbekende 0day-exploit" zegt, maar dat verbergt niet dat ze gewoon hebben zitten slapen.

Een IDS had de brute-force op de domaincontroller gezien, en een alerte sysop had vervolgens direct het zwarte schaap kunnen disconnecten, de user kunnen bitch-slappen, en zijn virusscanners kunnen schoppen.
09-09-2009, 18:46 door Anoniem
Firewall anyone ??
10-09-2009, 03:18 door Anoniem
Leuke maatregelen, maar wat is nu de moraal van dit verhaal? Niet dat het energiebedrijf tot het verdrinken van het kalf de put eens ging dempen. Als het kalf is verdronken dan doen we liever alsof het nog leeft.
10-09-2009, 08:59 door Anoniem
Door Anoniem: Firewall anyone ??
Firewall? Wat is dat?
10-09-2009, 12:36 door Anoniem
"Firewall? Wat is dat?"

Je hebt weinig aan een firewall indien de exploit een verbinding opzet vanaf de desktop van de gebruiker, via een toegestane poort. De established traffic terug zal dan ook niet worden tegengehouden. Sommige mensen lijken te denken dat je met een firewall plaatsen iedere aanval kunt voorkomen; dit is zeer zeker niet het geval.
13-09-2009, 13:30 door spatieman
inderdaad.
het probleem van firewalls zijn, dat ze wel bescherming bieden voor zooi van buiten naar binnen.
Maar andersom niet!

als van het lokale netwerk een verbinding wordt opgezet naar butien, zal de firewall deze altijd toestaan
14-09-2009, 16:38 door Anoniem
Door spatieman: inderdaad.
het probleem van firewalls zijn, dat ze wel bescherming bieden voor zooi van buiten naar binnen.
Maar andersom niet!

als van het lokale netwerk een verbinding wordt opgezet naar butien, zal de firewall deze altijd toestaan

Nee hoor. Al onze servers hebben stricte firewalls die 2 kanten op werken.
Als ik bijv een DNS server opzet, waarom zou die dan HTTP moeten mogen doen naar welk systeem dan ook? ( op security.debian.org na ).

Het is werkelijk heel simpel. Je zorg dat 1 systeem (of cluster) 1 taak heeft, en je zet alleen die poorten + ip's open die expliciet nodig zijn voor die taak. Niet meer, en niet minder.
29-09-2009, 13:03 door Anoniem
Leuk chm-bestand, wil die functionaliteit wel eens analyseren.

Ze zouden die chm backdoor via email kunnen besturen, ga er tenminste wel vanuit dat het netwerk op de email na volledig afgescheiden was. Firewalls dichten zo'n gat helaas niet, zelfs niet antivirus of spamfilters op de email.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.