Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Malware schakelt industrieel veiligheidssysteem uit

donderdag 14 december 2017, 17:17 door Redactie, 5 reacties
Laatst bijgewerkt: 15-12-2017, 09:18

Onderzoekers van securitybedrijf FireEye hebben malware ontdekt die ontwikkeld is om een industrieel veiligheidssysteem te manipuleren en dit ook bij een fabriek heeft gedaan. Triton, zoals de malware wordt genoemd, kan Triconex Safety Instrumented System (SIS) controllers aanpassen.

Een SIS is een autonoom controlesysteem dat onafhankelijk de status monitort van de processen die het controleert. Als een proces een bepaalde parameter overschrijdt die op een gevaarlijke situatie duidt, probeert het SIS het proces in een veilige staat te krijgen of schakelt het proces uit. Naast SIS-controllers zijn fabrieken ook voorzien van een Distributed Control System (DCS), waarmee menselijke operators de industriële processen kunnen monitoren en controleren.

Bij een aanval tegen een niet nader genoemde fabriek wist de aanvaller toegang te krijgen tot een SIS-werkstation dat op Windows draait. Vervolgens werd de Triton-malware ingeschakeld om de SIS-controllers te herprogrammeren. Daardoor raakten sommige controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld. Volgens FireEye was het waarschijnlijk niet de bedoeling van de aanvaller om het systeem uit te schakelen.

De aanvaller had namelijk al toegang tot het DCS en had zo de mogelijkheid om het proces te manipuleren of de fabriek uit te schakelen. In plaats daarvan kozen ze ervoor om het SIS-systeem te compromitteren. Zodra er toegang tot het SIS-systeem was verkregen had de malware een commando kunnen geven om het proces uit te schakelen of opzettelijk defecte code naar de SIS-controller kunnen uploaden, waardoor die defect raakte.

In plaats daarvan probeerde de aanvaller gedurende een periode om binnen de gehackte omgeving functionele controllerlogica voor de SIS-controller te ontwikkelen en installeren. De pogingen zouden door een fout in de gebruikte aanvalsscripts zijn mislukt. Toch bleef de aanvaller volhouden. Dit suggereert volgens FireEye dat de aanvaller een ander doel had dan het uitschakelen van het proces.

Wat verder opvalt is dat de malware kort nadat er toegang tot het SIS-systeem was verkregen werd ingezet. Volgens het securitybedrijf wijst dit erop dat de malware al was gemaakt en getest. Hiervoor hadden de aanvallers toegang moeten hebben tot hardware en software die niet eenvoudig beschikbaar is. Daarnaast communiceert de malware via het gesloten TriStation-protocol waarvan geen documentatie openbaar is. Dit zou erop duiden dat de aanvaller het protocol zelf heeft gereverse engineered. Wie er achter de aanval zit en hoe de fabriek besmet raakte laat FireEye niet weten.

Google Chrome krijgt sterkere pop-upblocker
Securitybedrijf Fox-IT doelwit van man-in-the-middle-aanval
Reacties (5)
15-12-2017, 02:26 door Anoniem
Het zou helpen als we wisten wat de fabriek produceerde en wellicht aan welk land het toebehoorde. Als we dit maar steeds niet durven te publiceren dan heeft de rest ook weinig waarde. Met genoeg expertise en volhardendheid kun je alles RE en fouten vinden.
15-12-2017, 08:52 door buttonius - Bijgewerkt: 15-12-2017, 09:45
Die Triton software en dat TriStation protocol lijken me een ernstig geval van security by obscurity. Kennelijk redelijk eenvoudig te reverse engineeren en daarna zo lek als een vergiet.
15-12-2017, 12:02 door MathFox
Door Anoniem: Het zou helpen als we wisten wat de fabriek produceerde en wellicht aan welk land het toebehoorde. Als we dit maar steeds niet durven te publiceren dan heeft de rest ook weinig waarde. Met genoeg expertise en volhardendheid kun je alles RE en fouten vinden.
Als een fabriek een apart veiligheidssysteem heeft, dan gaat het om een inherent onveilige installatie. Zoals in het artikel al gesuggereerd is ging het de aanvallers niet om een shutdown van de fabriek te bereiken; in plaats daarvan werd er een poging gedaan om het veiligheidssysteem te herprogrammeren. Ik vermoed dat de indringers een poging deden om een meer explosieve vorm van sabotage te bereiken.

De aanvallers hebben tijd en geld; dat suggereert dat er een overheid achter zit. Je kunt nu kijken naar conflictgebieden en mogelijke doelwitten daar. En welke bedrijven zouden FireEye inschakelen?
15-12-2017, 16:14 door Anoniem
Als een fabriek een apart veiligheidssysteem heeft, dan gaat het om een inherent onveilige installatie.

Juist niet, in de industrie is het vaak verplicht een apart veiligheidssysteem te hebben!

Zelfs als een control systeem gehacked zou worden (of op elke andere manier zijn taak niet meer goed kan uitvoeren) dan zal het veiligheidssysteem Hollywood-achtige scenario's voorkomen en een fabriek altijd veilig uitschakelen. Hooguit is een shutdown of ander soort productie derving te veroorzaken. (Wat natuurlijk ook nooit zou mogen gebeuren).

Het is wel zaak om je veiligheidssysteem zoveel mogelijk te isoleren tov je controle systeem, liefst compleet los.
Daarnaast horen dit soort systemen ook altijd "op slot" te staan met een fysieke sleutel en/of schakelaar zodat software aanpassingen niet zomaar uitgevoerd kunnen worden, en juist dit soort aanvallen moet voorkomen. Dat lijkt hier dus ook al niet het geval te zijn (of was niet ingeschakeld)

Tenslotte zijn er in dit soort installaties ook nog fysieke veiligheidsmaatregelen, zoals breekplaten en speciale veiligheidskleppen. Deze zijn niet eens elektronisch en dus inherent veilig tegen elke vorm van (software)hacking.
19-01-2018, 09:50 door Anoniem
Het zou helpen als we wisten wat de fabriek produceerde en wellicht aan welk land het toebehoorde. Als we dit maar steeds niet durven te publiceren dan heeft de rest ook weinig waarde. Met genoeg expertise en volhardendheid kun je alles RE en fouten vinden.

De meerwaarde van dit soort rapportages voor IT beveiligers is gelegen in technische details, *niet* in het onthullen van de identiteit van het slachtoffer. Hoezo weinig waarde ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Welke messaging-app gebruik jij?

23 reacties
Aantal stemmen: 611
Advertentie

Image

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer
Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?
13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

19 reacties
Lees meer
Signal, WhatsApp, Telegram en Threema vergeleken
12-01-2021 door Anoniem

Leuke vergelijking tussen verschillende chat apps. Wel hoog WC-eend gehalte, maar ik wist niet dat Signal niet aan de AVG ...

1 reacties
Lees meer
SolarWinds: overzicht van een wereldwijde supply-chain-aanval
21-12-2020 door Redactie

Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...

15 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter