image

Onderzoekers: Malware in fabriek moest explosie veroorzaken

donderdag 15 maart 2018, 13:57 door Redactie, 11 reacties

De malware die vorig jaar een petrochemische fabriek in Saoedi-Arabië infecteerde had als doel het veroorzaken van een explosie, zo laten meerdere onderzoekers die de aanval onderzoeken tegenover de New York Times weten. De aanval met de Triton-malware kwam vorig jaar december in het nieuws.

De malware bleek in staat te zijn om Triconex Safety Instrumented System (SIS) controllers aan te passen. Een SIS is een autonoom controlesysteem dat onafhankelijk de status monitort van de processen die het controleert. Als een proces een bepaalde parameter overschrijdt die op een gevaarlijke situatie duidt, probeert het SIS het proces in een veilige staat te krijgen of schakelt het proces uit. Naast SIS-controllers zijn fabrieken ook voorzien van een Distributed Control System (DCS), waarmee menselijke operators de industriële processen kunnen monitoren en controleren.

De aanvallers wisten toegang tot een SIS-werkstation van de fabriek te krijgen. Vervolgens besloten ze om de SIS-controllers te herprogrammeren. Daardoor raakten twee controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld. Begin dit jaar gaf Schneider Electric, dat de aangevallen industriële systemen ontwikkelde, al enige details. Nu blijkt dat een fabriek in Saoedi-Arabië het doelwit was.

Hoe de aanvallers toegang wisten te krijgen laten de onderzoekers niet tegenover de New York Times weten. We zou de infectie op een engineering-werkstation zijn begonnen. De aanvallers hadden niet alleen uitgezocht hoe ze toegang tot het industriële systeem moesten krijgen, maar hadden ook voldoende kennis van de layout van de fabriek, zoals waar de leidingen liepen en welke kleppen moesten worden bediend, om een explosie te veroorzaken.

Alle onderzoekers die met de krant spraken, en vanwege het lopende onderzoek anoniem wilden blijven, stellen dat de malware als doel had om een explosie te veroorzaken. Een bug in de malware voorkwam dit echter. Ook in december verklaarde securitybedrijf FireEye, dat het incident onderzoekt, dat de aanvallers een ander doel hadden dan het uitschakelen van industriële processen. Inmiddels zouden de aanvallers hun fout hebben verholpen en zou het slechts een kwestie van tijd zijn voordat ze dezelfde techniek tegen een ander industrieel controle systeem inzetten, zo waarschuwen de onderzoekers.

Het is niet de eerste keer dat Saoedie-Arabië met gerichte aanvallen te maken krijgt. In 2012 werden nog 30.000 computers van de Saoedische oliegigant Saudi Aramco door malware onbruikbaar gemaakt. Eind 2016 en begin 2017 werd het land door een zelfde aanval getroffen.

Reacties (11)
15-03-2018, 17:15 door Anoniem
Zijn de NSA en of GCHQ weer bezig geweest.
15-03-2018, 17:46 door Anoniem
Uiterst verontrustend dit soort van incidenten.
Ook in nederland zijn er vestigingen van Saoedische bedrijven.
Aangezien nederland nogal dichtbevolkt is, zou zoiets in ons land ronduit een catastrofe kunnen veroorzaken.

Voor wat betrefd mijzelf; als mechanisch monteur ben ik af en toe werkzaam op locaties in de petro-chemie,
en ik ben ook al op locaties geweest van bijvoorbeeld Sabic, ergens in Limburg, en daar is het wel heel erg dichtbevolkt.
En dan heb ik reeds meegemaakt dat er bij groot-onderhoud projecten wel eens een sirene alarm wordt gegeven.
Daardoor loopt dus opeens door het volgen van de nood procedures tijdens dat soort van projecten 2500 a 3000 man uitvoerend personeel naar verscheidene verzamel plekken (safety-area's), ter afwachting van het signaal; all clear.

Wellicht moeten dit soort van bedrijven toch maar eens voor het belang van het algemene goed, er toe over gaan dat hun bedrijven / bedrijvigheid en toeleveranciers op geen enkele manier via het internet verbonden kunnen zijn / raken.

In ELK geval voor wat betrefd de proces-technologische kant.

Nogmaals; zeer verontrustend.
15-03-2018, 18:02 door Anoniem
Door Anoniem: Zijn de NSA en of GCHQ weer bezig geweest.

Beetje opletten in de geopolitiek - het blijft speculatie, maar dat kun je slim of dom doen.

Saoedi-Arabië wordt door de VS als bondgenoot beschouwd, en het VK volgt de VS bijna naadloos.
Verder zou het voor hen nogal bijzonder zijn om dergelijke zichtbare acties te doen tegen een 'normaal' doel als een raffinaderij of petro-industrie, en dat bij een bondgenoot.

De grootste vijand van S-A is Iran, dat feitelijk elk soort probleem in SA , en zeker een probleem dat veel geld kost zal verwelkomen. Syrie is ook een vijand, maar ik denk niet dat ze op dit moment in staat zijn een dergelijke actie op touw te zetten.
Israël is natuurlijk ook geen vriend, alleen beperken ook zij hun acties gewoonlijk tot doelen waar ze echt bezorgd over zijn (nucleaire programma's , raketbases, terroristenkampen) - en zijn ze gewoonlijk erg succesvol.
15-03-2018, 19:44 door Anoniem
Dat land behandeld hun buitenlandse werknemers niet altijd even vriendelijk. Dus het zou ook heel goed mogelijk zijn dat ex werknemers wraak willen nemen.
15-03-2018, 21:01 door Anoniem
Door Anoniem: Dat land behandeld hun buitenlandse werknemers niet altijd even vriendelijk. Dus het zou ook heel goed mogelijk zijn dat ex werknemers wraak willen nemen.

Genoeg slavenarbeiders die het zouden _willen_ , maar die groep overlapt niet zo met de mensen die dit _kunnen_ .
15-03-2018, 22:35 door Anoniem
Door Anoniem:
Door Anoniem: Zijn de NSA en of GCHQ weer bezig geweest.

Beetje opletten in de geopolitiek - het blijft speculatie, maar dat kun je slim of dom doen.

Saoedi-Arabië wordt door de VS als bondgenoot beschouwd, en het VK volgt de VS bijna naadloos.
Verder zou het voor hen nogal bijzonder zijn om dergelijke zichtbare acties te doen tegen een 'normaal' doel als een raffinaderij of petro-industrie, en dat bij een bondgenoot.

De grootste vijand van S-A is Iran, dat feitelijk elk soort probleem in SA , en zeker een probleem dat veel geld kost zal verwelkomen. Syrie is ook een vijand, maar ik denk niet dat ze op dit moment in staat zijn een dergelijke actie op touw te zetten.
Israël is natuurlijk ook geen vriend, alleen beperken ook zij hun acties gewoonlijk tot doelen waar ze echt bezorgd over zijn (nucleaire programma's , raketbases, terroristenkampen) - en zijn ze gewoonlijk erg succesvol.

Het blijft inderdaad opletten :-)
Bondgenoten zijn prima targets voor false flag acties.
Israël is natuurlijk wel een "vriend" die vreemde sprongen kan maken.
15-03-2018, 22:54 door [Account Verwijderd]
Hoewel ik zelf in de Petrochemische industrie gewerkt heb, moet ik zeggen dat de aanvallers toch niet zo goed op de hoogte waren (gelukkig maar) van de vele veiligheidssystemen die in deze industrie zijn ingevoerd. Hoe en wat precies laat ik even in het midden, want de vijand leest ook mee.

Ik vraag mij overigens wel af of een opzettelijke explosie in zo'n fabriek niet zal leiden tot een conflict tussen landen als de aanvaller bekend wordt bij het slachtoffer. Het is namelijk wel vaker voorgekomen dat een dergelijke aanslag gezien werd als een oorlogsverklaring en niet meer als een terroristische aanslag. De gevolgen kunnen dan rampzalig zijn.
16-03-2018, 21:18 door Anoniem
Door Anoniem:
Israël is natuurlijk ook geen vriend, alleen beperken ook zij hun acties gewoonlijk tot doelen waar ze echt bezorgd over zijn (nucleaire programma's , raketbases, terroristenkampen) - en zijn ze gewoonlijk erg succesvol.

Het blijft inderdaad opletten :-)
Bondgenoten zijn prima targets voor false flag acties.
Israël is natuurlijk wel een "vriend" die vreemde sprongen kan maken.[/quote]
Juist en de AIVD loopt ze lekker achterna dus aan hun heb je ook weinig. Het media establishment brainwashed verder de populatie dus de komende jaren gaan heel vervelend worden voor mensen die verstand hebben van security die dingen beter kunnen duiden maar "hun klep moeten houden". Na 9-11 spraken ook allerlei experts zich uit over hun expertisegebied maar waren geen lang leven beschoren. Ik denk dat wij ons zorgen mogen maken en ons moeten voorbereiden op zo'n situatie.

Stel je eens voor dat mensen op fora als security.nl strakjes in de complotdenkershoek gedrukt worden.....
17-03-2018, 00:15 door Anoniem
Je hoeft niet in de complotdenkershoek gedrukt te worden als je je gaat inzetten voor een verbetering van IoT security
middels hardware oplossingen. Met deze ontwikkeling met 1 x 1 x 1 biljoen mogelijke IP6 adressen wordt het steeds meer een noodzakelijkheid om de (niet zo veilig by default) smart wereld, die aan het web hangt, wat veiliger te krijgen.

Stel je alleen maar voor hoe razendsnel een geinfesteerde smart led lamp de andere lampen aan kan steken en dat dan de basis kan vormen van een flinke bedreiging van ons polderbestaan. Stuxnet was een belangrijk leerpunt en er waren er inmiddels meer.

Ik duid hier niets, echt, dit is algemeen bekende info, alleen de massa staat er nog geen minuut bij stil en stopt zich vol met smart dit en dat, omdat ie te lui is om naar de smart koelkast te lopen en die zelf te vullen en wacht op de drone bestelling van Appie Happie. "Het zal je kind maar wezen, yeah, yeah, yeah, yeah". Denk aan de toekomst van je kotertjes. Het is echter nu al wel bijna realiteit.

Jodocus Oyevaer
17-03-2018, 10:02 door Anoniem
Door Fidelis:
Ik vraag mij overigens wel af of een opzettelijke explosie in zo'n fabriek niet zal leiden tot een conflict tussen landen als de aanvaller bekend wordt bij het slachtoffer. Het is namelijk wel vaker voorgekomen dat een dergelijke aanslag gezien werd als een oorlogsverklaring en niet meer als een terroristische aanslag. De gevolgen kunnen dan rampzalig zijn.

Als de ene soevereine staat een aanslag pleegt bij een andere, dan is het een oorlogsdaad. Of het zover komt is de vraag.
17-03-2018, 14:17 door Anoniem
Door Fidelis: Hoewel ik zelf in de Petrochemische industrie gewerkt heb, moet ik zeggen dat de aanvallers toch niet zo goed op de hoogte waren (gelukkig maar) van de vele veiligheidssystemen die in deze industrie zijn ingevoerd. Hoe en wat precies laat ik even in het midden, want de vijand leest ook mee.

Je hoeft niet in details te treden, maar als je zegt 'bovenstaande actie zou zonder bug ook niet gewerkt hebben' , is dat puur gebaseerd op het verslag hierboven ?
Voor dingen waar ik persoonlijk expert in ben, ik heb vrijwel nooit alle details in een media reportage terug gezien.

Verder, het lijkt me sterk dat aanvallers die deze malware konden schrijven en targeten , inclusief kennis van de betreffende fabriek dan niet op de hoogte zouden zijn van overige systemen en werkprocedures in die fabriek .

Ook, hoe universeel zijn de systemen/procedures die jij hebt meegemaakt in de wereld ? - Je ervaring zal , neem ik aan, gebaseerd zijn op de nederlandse situatie. Hoe zeker ben je dat het in S-A overal ook zo ingericht is ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.