De Amerikaanse regering waarschuwde woensdag voor actoren van natiestaten die gespecialiseerde malware inzetten om toegang te houden tot industriële controlesystemen (ICS) en toezichthoudende controle- en data-acquisitieapparatuur (SCADA).
“De APT-actoren hebben op maat gemaakte tools ontwikkeld voor het targeten van ICS/SCADA-apparaten”, meerdere Amerikaanse instanties zei in een waarschuwing. “Met de tools kunnen ze de getroffen apparaten scannen, compromitteren en besturen zodra ze de eerste toegang tot het operationele technologienetwerk (OT) hebben verkregen.”
Het gezamenlijke federale advies komt met dank aan het Amerikaanse ministerie van Energie (DoE), de Cybersecurity and Infrastructure Security Agency (CISA), de National Security Agency (NSA) en het Federal Bureau of Investigation (FBI).
De op maat gemaakte tools zijn specifiek ontworpen om de Schneider Electric programmeerbare logische controllers (PLC’s), OMRON Sysmac NEX PLC’s en Open Platform Communications Unified Architecture (OPC UA)-servers te onderscheiden.
Bovendien zouden de niet bij naam genoemde acteurs de mogelijkheid hebben om op Windows gebaseerde technische werkstations te infiltreren in IT- en OT-netwerken door gebruik te maken van een exploit die een door ASRock ondertekend moederbordstuurprogramma met bekende kwetsbaarheden (CVE-2020-15368).
De bedoeling, aldus de agentschappen, is om de toegang tot ICS-systemen te benutten om privileges te verhogen, lateraal binnen de netwerken te bewegen en missiekritieke functies in vloeibaar aardgas (LNG) en elektrische energieomgevingen te saboteren.
Industrieel cyberbeveiligingsbedrijf Dragos, dat de malware volgt onder de naam “PIPEDREAM” beschreef het sinds begin 2022 als een “modulair ICS-aanvalraamwerk dat een tegenstander zou kunnen gebruiken om verstoring, degradatie en mogelijk zelfs vernietiging te veroorzaken, afhankelijk van doelen en de omgeving.”
Dragos CEO Robert M. Lee toegeschreven aan de malware aan een statelijke actor genaamd CHERNOVITE, die met grote zekerheid beoordeelt dat de destructieve toolkit nog moet worden gebruikt in echte aanvallen, waardoor het mogelijk de eerste keer is dat “een industriële cybercapaciteit is gevonden *vóór* de inzet voor de beoogde Effecten.”
PIPEDREAM Kenmerken een reeks van vijf componenten om zijn doelen te bereiken, waardoor het verkenningen kan uitvoeren, doelapparaten kan kapen, de uitvoeringslogica van controllers kan manipuleren en PLC’s kan verstoren, wat in feite leidt tot “verlies van veiligheid, beschikbaarheid en controle van een industriële omgeving.”
Het is ook bekend dat de veelzijdige malware profiteert van CODESYS, een ontwikkelomgeving van derden voor het programmeren van controller-applicaties en waarvan is ontdekt dat deze in het afgelopen jaar maar liefst 17 verschillende beveiligingsproblemen bevat.
“Mogelijkheden om veiligheidscontrollers en andere machineautomatiseringscontrollers te herprogrammeren en mogelijk uit te schakelen, kunnen dan worden gebruikt om het noodstopsysteem uit te schakelen en vervolgens de operationele omgeving te manipuleren tot onveilige omstandigheden”, waarschuwde Dragos.
Gelijktijdig met de onthulling is een ander rapport van het dreigingsinformatiebureau Mandiant, dat ontdekte wat het een “set van nieuwe, op industriële controlesystemen (ICS) gerichte aanvalstools” noemt, gericht op machineautomatiseringsapparatuur van Schneider Electric en Omron.
De door de staat gesponsorde malware, die het heeft genoemd INCONTROLLERis ontworpen om “te communiceren met specifieke industriële apparatuur die is ingebed in verschillende soorten machines die in meerdere industrieën worden gebruikt” door middel van industriële netwerkprotocollen zoals OPC UA, Modbus en CODESYS.
Dat gezegd hebbende, is het nog onduidelijk hoe de overheidsinstanties en Dragos en Mandiant de malware hebben gevonden. De bevindingen komen een dag nadat het Slowaakse cyberbeveiligingsbedrijf ESET het gebruik van een verbeterde versie van de Industroyer-malware in een mislukte cyberaanval vorige week tegen een niet nader genoemde energieleverancier in Oekraïne had beschreven.
“INCONTROLLER” [aka PIPEDREAM] vertegenwoordigt een uitzonderlijk zeldzame en gevaarlijke cyberaanvalmogelijkheid”, zei Mandiant. “Het is vergelijkbaar met Triton, die in 2017 probeerde een industrieel veiligheidssysteem uit te schakelen; Industroyer, dat in 2016 voor een stroomstoring zorgde in Oekraïne; en Stuxnet, dat rond 2010 het Iraanse nucleaire programma saboteerde.”
Om potentiële bedreigingen te beperken en ICS- en SCADA-apparaten te beveiligen, bevelen de instanties organisaties aan om multi-factor authenticatie voor toegang op afstand af te dwingen, periodiek wachtwoorden te wijzigen en voortdurend op zoek te gaan naar kwaadaardige indicatoren en gedrag.
