Hacktivisten en andere hackers richten hun pijlen op industriële systemen die kritieke infrastructuur zoals kerncentrales, waterbedrijven, rioolinstallaties en sluizen aansturen. Daarvoor waarschuwt de beveiligingsdienst van industriële systemen ICS-CERT. De plc's van SCADA-systemen zijn makkelijk te misbruiken door exploittools die maandenlang ongepatchte gaten openwrikken. Bovendien gebruiken hackers zoekmachine Shodan om snel kwetsbare systemen op te sporen.

Snoodaards besnuffelen SCADA

“ICS-CERT neemt een verhoogde interesse waar van malafide groepen, waaronder hacktivisten en anarchisten, voor industriële apparaten", stelt de dienst in een waarschuwingsbericht (PDF). De dienst ziet dat zwakke SCADA-systemen worden geïdentificeerd door hackers en de adressen daarvan worden gepubliceerd op verschillende sites. “Leden van deze groepen vragen anderen de machines te bekijken of zich er toegang toe te verschaffen."

SCADA-systemen zijn vaak zo lek als een mandje en via een beveiligingstool zijn de kwetsbaarheden in honderden van deze besturingssystemen eenvoudig te misbruiken. Juist omdat SCADA-systemen kritieke infrastructuur aanstuurt als stroom- en watervoorziening is een stevige beveiliging gewenst. Maar de besturingssystemen zitten vol bugs en backdoors.

Via de tool CoDeSys zijn backdoors te openen naar verschillende industriële controlesystemen die een internetverbinding hebben. De tool is bedoeld om plc's eenvoudig op afstand te herprogrammeren. Veel SCADA-systemen vereisen hiervoor niet eens dat de gebruiker logincredentials gebruikt en laten wie dat ook maar wil binnen, vertelt een beveiligingsonderzoeker aan Ars Technica.

Industriële systemen wijdopen

Verschillende backdoors in SCADA-systemen zijn breed gedocumenteerd. Veiligheidsdienst ICS-CERT, die de beveiliging van industriële systemen in de gaten houdt, waarschuwt bijna dagelijks voor een nieuwe kwetsbaarheid. De dienst gebruikt als standaardadvies om kritieke systemen niet aan een internetverbinding te hangen.

ICS-CERT waarschuwt dat onder meer plc's van fabrikanten GE, Rockwell Automation, Schneider Electric en Koyo te misbruiken zijn met de tool waar de dienst in februari ook al eens melding van maakte. “Bezitters van deze systemen moeten niet aannemen dat hun industriële controlesystemen veilig zijn of dat ze een configuratie gebruiken waarbij geen actieve internetverbinding aanwezig is", aldus de dienst.

De makers van SCADA systemen zijn notoir laks in het beveiligen van hun besturingssystemen. ICS-CERT stelt dat beveiligingsproblemen in industriële systemen extra gevaarlijk zijn geworden met de komst van de zoekmachine Shodan twee jaar geleden. Shodan indexeert kwetsbare servers en op deze manier kunnen hackers de gaten in SCADA-systemen sneller misbruiken.

Veiliger besturingssysteem

De fabrikanten van industriële systemen vertrouwden in het verleden op security-through-obscurity. Maar nu kwetsbaarheden op straat liggen, expoittools verkrijgbaar zijn en ip-adressen van SCADA-machines online verschijnen, ligt die tijd ver achter ons. Na Stuxnet dat zich richtte op industriële centrifuges voor het verrijken van uranium, werd in de beveiligingswereld hard gezocht naar personeel dat gespecialiseerd is in SCADA-systemen.

Beveiligingsbedrijf Kaspersky werkt naar eigen zeggen al tien jaar aan een veilig besturingssysteem voor industriële systemen. Eugene Kaspersky onthulde eerder deze maand officieel plannen voor dit OS, maar hoe het precies gaat werken en wanneer het moet uitkomen blijft onduidelijk.