Beveiligers slaan alarm over de verfijndere software die industriële controlesystemen op afstand stillegt.

Het aanvalspakket Industroyer is een nakomeling van het virus Stuxnet, “de moeder aller aanvall”. En zoals altijd bij nieuwe aanvalssoftware is net weer iets geslepener. Vorig jaar slaagde een aanval vanaf afstand met het Industroyer-virus op computersystemen van een waterzuiveringsinstallatie in de Verenigde Staten. In december 2017 volgde de aanval op Saudi Aramco. In 2016 legden hackers met een testvariant de stroomvoorziening van Kiev mee plat.

Geschakelde aanvallen

,,De code van deze malware is gebruikt bij de recente aanvallen op de terminals van de Haven Rotterdam en op geldautomaten en gebouwbeheersystemen in Nederland”, zegt Rian van Rijbroek, directeur van beveiliger Mamomo, en zelf jaren actief bij legale hackprojecten voor bedrijven. ,,Met Industroyer zijn grote, geschakelde aanvallen uit te voeren op energienetwerken, zee- en luchthavens tot onze banken. Die zijn nabij”, stelt zij.

,,De code van deze malware is gebruikt bij de recente aanvallen op de terminals van de Haven Rotterdam en op geldautomaten en gebouwbeheersystemen in Nederland”, zeggen professor Ben van Lier, tevens directeur van Centric en Rian van Rijbroek, directeur van MaMoMo, en zelf jaren actief bij legale hackprojecten voor bedrijven en overheden. ,,Met Industroyer zijn grote, geschakelde aanvallen uit te voeren op energienetwerken, zee- en luchthavens tot onze banken. Die zijn nabij”, stellen zij.

Via Schneider Electric

Beveiligingsbedrijf Eset ontdekte vroeg de schadelijke werking van Industroyer. ,,Dit was de eerste malware die namens aanvallers op afstand direct kon communiceren met bedrijfssystemen. Zij gaven systemen binnen bedrijven het commando te stoppen. Dat kunnen alleen zeer goed gefinancierde groepen of natiestaten”, zegt Dave Maasland, directeur Nederland van de Slowaakse beveiliger ESET. Dat waarschuwde onder meer energiebedrijven en overheidsinstellingen om de infrastructuur beter te beveiligen.

De bron van de recente problemen is bekend. Het forum Cyberscoop meldde dat Schneider Electric, een grote leverancier van bedrijfssoftware kritische systemen in bijvoorbeeld turbines tot vliegvelden, per ongeluk code van kwetsbare beveiligingssoftware op een onbeveiligde site had gezet. De software kon door hackers worden binnengehaald. En weer gebruikt. Schneider Electric werkt voor vrijwel alle grote industriële bedrijven, waaronder Aramco.

Via toeleverancier

Eind 2017 kocht Saudi Aramco een belang in de Rotterdamse olieterminal MOT. Een directeur van een Nederlandse toeleverancier aan Aramco ontdekte dankzij Van Rijbroek de software bij zijn eigen onderaannemer, een bedrijf dat met software complexe ontwerpen maakte. Hij wil anoniem blijven. De directeur waarschuwt na de ontdekking „voor een heel groot probleem voor alle bedrijven in Nederland”, doelend vooral op transportbedrijven en energienetwerken.

Naar de daders blijft het gissen. November vorig jaar concludeerden Amerikaanse veiligheidsdiensten dat de software door zeer professionele groepen of geheime diensten is gemaakt. Een combinatie van Russische en Iraanse hackers gaat veel rond op hackersforum, gezien hun ‘handtekening’, het codeontwerp. Iran geldt als vijand van Saudi-Arabië, grootaandeelhouder van Aramco dat dit jaar naar de beurs wil.

Verenigd in zorg

Meningen van cyberbeveiligers over de werkelijke schade lopen uiteen. Volgens Fox-IT ,,blijft het speculeren, net als naar de daders”. Maar de beveiligers zijn wel verenigd in hun zorg. Dit complexe nieuwe virus vreet zich makkelijk binnen bij gebouwenbeheerssystemen.

,,Hackers kunnen hiermee via beheersystemen honderden gebouwen tegelijk platleggen, door eerst het internet en alle elektriciteit in de gebouwen stil te leggen”, aldus cybersecurityspecialist Van Rijbroek, met ondernemer en oud-politicus Willem Vermeend auteur van het boek ‘De wereld van cybersecurity en cybercrime'.

Willem Vermeend is woensdag bij het Kamerdebat om de kwetsbaarheid van bedrijven voor deze en andere hacks te benadrukken.

,,De aanvallen van hackers via toeleveranciers van grote bedrijven zullen we veel vaker gaan zien”, aldus Maasland. Die richten zich op bedrijfsbesturingssystemen. ,,Bedrijven zelf zijn soms goed beveiligd, de keten van bedrijven met wie ze samenwerken is de zwakke schakel. Die hebben hackers ontdekt.”

Dit klinkt allemaal sensationeel, verwijst Maasland naar Stuxnet en Industroyer. ,,Toch waren dat nog professionals. Mijn echte zorg betreft de volgende variant, de hiervan weer afgeleide, geavanceerdere software die voor grote groepen beschikbaar komt. De kernwapens in de garage. We zijn er niet alert genoeg op.”