Beveiligingsexpert Michael Toecker van ICS-beveiligingsbedrijf Digital Bond heeft ontdekt dat er malware huist op de systemen van mensen die verbinden met industriële systemen. ICS-systemen beheren onder meer belangrijke infrastructuur, zoals de relays van energiebedrijven.

Malafide programma's kunnen zo zelfs industriële systemen besmetten waarbij de internettoegang is dichtgezet via de verbinding met laptops van werknemers. Hij ontdekte met een simpele zoektocht al 9 gevallen van met malware besmette computers die communiceren met ICS-systemen. Zo kan een hacker alsnog commando's meesturen naar een systeem dat om veiligheidsredenen verstoken is van internettoegang.

Misbruik wordt stilgehouden

Toecker heeft op diverse fora gebruikers van ICS-programma's ontdekt wiens systemen besmet zijn met malware. Hij legt de focus op belangrijke industriële systemen die elektriciteitsnetwerken beheren en komt met een wrang voorbeeld van een technicus bij een stroomleverancier die een met malware geïnfecteerd systeem aan belangrijke SCADA-systemen koppelt.

De beveiligingsexpert wijst erop dat met alle publicatie rond brakke ICS-systemen en Shodan het tijd is uit te zoeken of het probleem in de praktijk wel bestaat. Misbruik van lekke SCADA-systemen blijft meestal buiten de publiciteit en daarom benaderde hij het anders: hij zocht op fora naar gebruikers van tools die specifiek betrekking hebben op het beheren van energie-infrastructuur.

Bescherming ict-afdeling

Hij haalt een specifiek voorbeeld aan van zo'n gebruiker. De onderzoeker keek naar alles wat op het systeem draait. De aanwezigheid van automatiseringssoftware als de ICS-tool CoDeSys en CAD-programma AutoDesk leidt hem tot de conclusie dat het geïnfecteerde systeem de laptop van een technicus is.

De getroffen gebruiker heeft daarnaast tools die worden gebruikt om configuraties op industriële systemen te beheren. In de lijst met programma's op de laptop komen ook 2 stuks malware voor. Toecker vond een nep-antivirusprogramma en een nep-recoveryprogramma. Daarbij tekent de onderzoeker aan dat het pakket van TrendMicro dat wordt gebruikt erop wijst dat antivirusbescherming in handen is van een ict-afdeling.

ICS-gebruiker klikt op vrijwel alles

De programma's worden geïnstalleerd via een drive-by die bijvoorbeeld een exploit in een verouderde plug-in misbruikt, of via een installatie door de gebruiker zelf. “Als dit een representatief voorbeeld is, ligt de veiligheid en betrouwbaarheid van het stroomnetwerk mogelijk in de handen van een doorsnee gebruiker die op vrijwel alles klikt", waarschuwt de deskundige.

Ook draait de laptop Windows XP met de antieke tweede service pack. “Ik zou zeggen dat dit beschamend is, maar dit is het gemiddelde niveau van ICS", aldus Toecker. Een van de problemen met lekken in ICS-systemen is dat de leveranciers laks zijn met het patchen van gaten in deze belangrijke systemen.