Iraanse cyberaanval op VS-infrastructuur
Amerikaanse veiligheidsdiensten hebben een dringende waarschuwing afgegeven over een gecoördineerde cyberaanval op de vitale infrastructuur van de Verenigde Staten. Iraanse staatshackers zijn erin geslaagd om industriële controlesystemen binnen de watersector, energievoorziening en overheidsfaciliteiten te infiltreren en te ontregelen. De aanval richt zich specifiek op apparatuur die cruciaal is voor de fysieke aansturing van installaties.
Directe aanval op industriële controllers
De gezamenlijke waarschuwing, afkomstig van onder meer de FBI, CISA en de NSA, spreekt van een "escalatie" in Iraanse cyberactiviteiten. De aanvallers maken gebruik van het feit dat veel industriële apparaten direct met het internet verbonden zijn zonder voldoende beveiliging.
De focus ligt op Programmable Logic Controllers (PLC's), met name van het merk Rockwell Automation (Allen-Bradley). Deze kastjes vormen het 'brein' van een fabriek of waterzuiveringsinstallatie: ze sturen kleppen, pompen en motoren aan. Door deze systemen over te nemen, kunnen de hackers niet alleen de werking verstoren, maar ook de gegevens op de schermen van operators (SCADA-systemen) manipuleren, waardoor het lijkt alsof alles normaal functioneert terwijl dat niet zo is.
Escalatie door geopolitieke spanningen
Volgens de FBI is de groep APT-actoren (Advanced Persistent Threats) gelieerd aan de Iraanse Revolutionaire Garde (IRGC). De timing van de aanvallen is niet toevallig; de diensten zien een direct verband met de opgelopen spanningen tussen Iran, de Verenigde Staten en Israël.
De hackers maken gebruik van gespecialiseerde software zoals Studio 5000 Logix Designer om verbinding te maken met de blootgestelde apparaten. Eenmaal binnen installeren ze vaak 'Dropbear SSH'-software om een permanente achterdeur in het netwerk te creëren.
Sectoren in het vizier
De aanval is niet beperkt tot één regio, maar treft vitale sectoren door het hele land:
- Water- en afvalwatersystemen: Cruciaal voor de volksgezondheid.
- Energiesector: Inclusief elektriciteitsnetwerken en brandstofdistributie.
- Overheidsfaciliteiten: Waaronder lokale gemeentelijke systemen.
In verschillende gevallen heeft de diefstal van projectbestanden en de manipulatie van data al geleid tot operationele verstoringen en financieel verlies.
De "Run"-modus: Een fysieke barrière
Een opvallend advies in het rapport is de oproep aan beheerders om de fysieke schakelaar op de controllers in de 'Run'-stand te zetten. Veel van deze apparaten hebben een fysieke sleutel of schakelaar. In de 'Run'-modus kan de software van het apparaat niet op afstand worden gewijzigd, wat een effectieve barrière vormt tegen hackers die proberen de logica van de machine aan te passen.
Urgentie voor beheerders
De authoriteiten adviseren organisaties om onmiddellijk de volgende stappen te ondernemen:
- Haal PLC's van het internet: Industriële controllers mogen nooit direct toegankelijk zijn via een openbare IP-verbinding. Gebruik firewalls en 'jump hosts'.
- Controleer de poorten: Let op verdacht verkeer op poorten zoals 44818, 2222 en 502, vooral als dit afkomstig is van buitenlandse hostingproviders.
- Wachtwoordhygiëne: Wijzig standaardwachtwoorden en implementeer multifactorauthenticatie (MFA) voor alle toegang op afstand.
- Back-ups: Zorg voor offline back-ups van de PLC-configuraties zodat systemen na een aanval snel hersteld kunnen worden.
'Secure by Design'
De overheid wijst ook met de vinger naar fabrikanten. Het rapport stelt dat het de verantwoordelijkheid van de producent is om apparatuur te leveren die "uit de doos" veilig is (Secure by Design). Dit betekent dat administratieve interfaces niet standaard open moeten staan voor het internet en dat sterke authenticatie de norm moet zijn, zonder extra kosten voor de klant.
De situatie wordt nauwlettend in de gaten gehouden. Organisaties die vermoeden dat ze doelwit zijn, worden dringend verzocht contact op te nemen met de CISA of de FBI.
