Home Security Slecht nieuws voor IoT security: Pipedream malware

Slecht nieuws voor IoT security: Pipedream malware

270

Recent is er nieuwe malware toolkit ontdekt die gebruikt kan worden om een ​​breed scala aan industriële controlesystemen (ICS) aan te vallen: Pipedream. Dit is misschien de meest veelzijdige tool die we tot nu toe gezien hebben voor het aanvallen van kritieke infrastructuur, zoals stroomnetten, fabrieken, waterzuiveringsinstallaties, olieraffinaderijen, etc.

APT-aanvallers (Advanced Persistent Threat) kunnen hiermee volledige systeemtoegang krijgen tot verschillende industriële controlesystemen (ICS) / Supervisory Control en Data-Acquisitie (SCADA)-systemen, aldus een waarschuwing van o.a. de Amerikaanse FBI en NSA. Pipedream is extra gevaarlijk vanwege de modulaire architectuur in combinatie met de mogelijkheid om systemen aan te vallen met geautomatiseerde exploits. De verschillende tools in de Pipedream-toolkit bieden een virtuele console met een bedieningsinterface die de interface van het beoogde ICS/SCADA-apparaat dupliceert. Cybercriminelen kunnen daarmee scannen op kwetsbare systemen, gedetailleerde gegevens opvragen over potentiële doelwitten, schadelijke configuraties/code uploaden naar het beoogde apparaat, back-ups maken van de inhoud van een systeem of deze terugzetten, en instellingen wijzigen. Dit betekent dat aanvallers systemen kunnen overnemen, kunnen voorkomen operators deze systemen bedienen, ze permanent beschadigen of gebruiken om toegang te krijgen tot andere delen van een industrieel controlenetwerk.

Geen technische kennis vereist voor een aanval

Hoewel er nog geen bewijs is dat er met succes een organisatie is aangevallen met Pipedream, is het zorgelijk dat deze malware Pipedream ontworpen lijkt te zijn om aanvallers met weinig technische kennis in staat te stellen om geavanceerde aanvallen uit te voeren. Securityteams moeten er dan ook van uitgaan dat cybercriminelen zich voorbereiden om ICS-aanvallen te makkelijker te maken, net zoals er al ransomware platforms zijn die cyberbendes gebruiken om op grote schaal aanvallen uit te voeren.

De zorgen rond de security van Operationele Technologie (OT) -omgevingen van een ICS zijn terug te voeren op Stuxnet: een kwaadaardige worm die zich richtte op SCADA-systemen die door Iran werden gebruikt als onderdeel van het kernwapenprogramma van dat land. Stuxnet richtte zich specifiek op machines met Step7-software van Siemens. In totaal zijn er inmiddels zeven verschillende typen ICS-malware ontdekt. Deze nieuwe waarschuwing is zorgwekkend omdat hiermee mogelijk vrijwel alle ICS-platforms aangevallen kunnen worden, inclusief die van Omron, Schneider Electric, Modbus, CODESYS en OPC UA. Pipedream is waarschijnlijk ontwikkeld door de APT-groep ‘Chernovite’, die is gespecialiseerd in het ontwikkelen van ICS-malware. Hoewel het nog nergens is ontdekt, kunnen de tijd en de inspanning die nodig zijn om exemplaren van Pipedream te vinden en te verwijderen, behoorlijk oplopen.

OT-teams missen de juiste expertise; IT-securityteams hebben geen tijd

Securityteams van industriële organisaties zouden er goed aan doen om beter bekend te raken met hun OT-platforms. Veel van de OT-systemen die nu nog in gebruik zijn, waren aanvankelijk niet verbonden met internet. Met de groei van Internet of Things (IoT)-toepassingen is dat nu echter steeds vaker wel het geval. De OT-teams die het beheer van deze platforms verzorgen, hebben over het algemeen weinig expertise op het gebied van cybersecurity. Ze rekenen op IT-securityteams voor hulp, maar die teams zijn vaak al overbelast. De grote uitdaging is dat IT-securityteams gewoon niet de tijd hebben of beschikken over de tools die nodig zijn om ook de verantwoordelijkheid voor OT-security op zich te nemen.

Als we inderdaad vaker geautomatiseerde ICS-aanvallen gaan zien, kan OT-security een echte uitdaging worden. Het is slechts een kwestie van tijd voordat een volgende variant van de Pipedream-malware het veel makkelijker maakt om op grote schaal dit soort aanvallen op grote schaal uit te voeren en daarom veel vaker zal worden ingezet.

Stefan van der Wal is CSE Application Security bij Barracuda Benelux

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in