Een onderzoeker van Trend Micro wilde wel eens weten of ook kleine SCADA-systemen nu echt zo interessant zijn voor hackers. Hij ontwierp een controlesysteem dat de PLC’s van een lokale waterpompinstallatie beheert en zette het overkoepelende SCADA-systeem in als honeypot. In een maand tijd volgden een hoop scans en drive-by’s, maar ook tientallen gerichte aanvallen.

Hackers gelokt

Beveiligingsonderzoeker Kyle Wilhoit presenteerde op hackerscongres Black Hat een praktische waarschuwing voor beheerders van industriële controlesystemen (PDF). Ook kleine industriële systemen blijken namelijk zeer interessant te zijn voor hackers en zijn in veel gevallen eenvoudig over te nemen.

Een zoektocht online, via Google en niet eens gatenzoekmachine Shodan, leert dat veel controlesystemen rechtstreeks op internet zijn aangesloten. Daarbij gaat het niet altijd om kritieke nationale systemen, maar wel om gevoelige installaties als lokale waterpompen. Om te zien of deze interessant zijn voor hackers, maakte Wilhoit een serie honeypots die zich voordeden als SCADA-systemen die de klimaatbeheersing van een gebouw beheren.

Meteen gerichte aanvallen

De honeypot bestaat uit een PLC die is gekoppeld aan een webpagina die als bedieningssysteem fungeerde. De controller bedient de temperatuur van de fabrieksruimte en is geprogrammeerd met standaardbeveiligingsinstellingen en een standaardwachtwoord. De hacker wijst erop dat dit vaak de praktijk is bij PLC’s die in de praktijk worden ingezet.

Binnen 18 uur werd de eerste honeypot al aangevallen. De twaalf honeypots die de onderzoeker heeft ingezet in acht verschillende landen zijn in totaal 74 keer aangevallen, meldt MIT’s Technology Review. Het gaat hierbij om gerichte aanvallen op het SCADA-systeem; Wilhoit houdt portscans en drive-by-aanvallen met bijvoorbeeld SQL-injectie buiten beschouwing.

Overheidshackers gelokt

De meeste aanvallen kwamen uit China en kwamen binnen via communicatieprotocol Modbus. Een andere onderzoeker op Black Hat toonde al aan dat meer dan 93.000 PLC’s te bereiken zijn via Modbus. Ook vanuit Nederland werd een PLC-aanpassingsactie via Modbus uitgevoerd.

Volgens de onderzoeker werd de kleine installatie, die op het oog niet interessant is voor georganiseerde hackers, op de korrel genomen door onder meer het Chinese hackerscollectief APT1. Deze groep uit Shanghai zou bestaan uit Chinese overheidshackers en achter diverse cyberaanvallen op de Verenigde Staten zitten.

Beveiliging zwak

Wilhoit waarschuwt dat beveiliging geen inherent onderdeel is van SCADA-systemen, maar dat er naderhand nog een beveiligingsmodule wordt aangeplakt. Dat komt volgens de onderzoeker omdat veel systemen in de industrie in de jaren 80 en 90 stand-alone zijn neergezet en ze later aan internet zijn gehangen zonder dat er verder goed over is nagedacht.

De onderzoeker raadt aan beheerders van industriële systemen, kritiek of niet, om geen onbeveiligde verbindingen als Telnet op te zetten en alle protocollen uit te schakelen die niet van kritiek belang zijn voor de functionaliteit. En logischerwijs moet er geen gebruik worden gemaakt van standaardinstellingen en moet SSL worden geïmplementeerd voor dergelijke systemen.