Cybercriminelen hebben geprobeerd om een petrochemisch bedrijf in Saudi-Arabië op te blazen door het beveiligingssysteem voor het procesbeheer van installaties op afstand te manipuleren. Door een fout in de code zijn ze daar niet in geslaagd. Er zijn zorgen omdat het getroffen Triconex-systeem wordt gebruikt in ongeveer achttienduizend installaties wereldwijd.
Dat meldt The New York Times. De Amerikaanse krant schrijft over het incident dat in augustus 2017 zou hebben plaatsgevonden. Volgens verschillende deskundigen die de krant sprak, probeerden cybercriminelen op afstand het veiligheidssysteem van de industriële installaties te manipuleren om een dodelijke explosie te veroorzaken. Het incident wordt onderzocht door inlichtingen en veiligheidsdiensten, waaronder de NSA, FBI en het Pentagon.
De aanval was gericht op Triconex. Leverancier Schneider Electric licht toe (toegevoegd 17 maart 2018) : ‘Dat veiligheidssysteem is ontworpen om het proces af te sluiten in het geval van een abnormale gebeurtenis of een incident dat tot catastrofes kan leiden.’
Volgens de leverancier is de cyberaanval alleen mogelijk als het gedistribueerde regelsysteem, dat de elektriciteit, druk en temperatuur van het proces regelt, – dat is dus niet het veiligheidssysteem – in een onveilige toestand wordt gebracht, waardoor het veiligheidssysteem het proces uitschakelt om een ongeluk te voorkomen.
Volgens leverancier Schneider Electric wordt Triconex wereldwijd op achttienduizend locaties gebruikt. Het gaat onder meer om de beveiliging van kerncentrales, waterkrachtcentrales, olieraffinaderijen en chemische fabrieken.
Volgens de experts, waarmee de New York Times sprak, is het niet eerder voorgekomen dat criminelen van buitenaf het systeem hebben gemanipuleerd. Experts vrezen dat criminelen de fout in de aanvalscode herstellen en weer zullen toeslaan.
Malware
Wel meldde medewerkers van Schneider eerder dit jaar een malware-aanval op Triconex.. Dat was tijdens de S4-veiligheidsconferentie die van 16 tot en met 18 januari 2018 is gehouden in Miami Beach.
Onderzoekers van Schneider Electric lichtten daar een malware-aanval op één van hun Triconex-veiligheidssystemen in een industriële installatie toe. Eerder werd gemeld dat die aanval plaatsvond in december 2017, maar het blijkt nu om het hetzelfde incident te gaan als dat van augustus 2017. Volgens de experts van Schneider die op die conferentie spraken, maakte de malware misbruik van een foutje in de firmware van het Triconex-systeem, meldde Engineersonline.nl op 23 januari 2018.
Reactie Schneider Electric
(toegevoegd op 17 maart 2018, 13.38)
‘Door geavanceerde cyberaanvalmethoden die de industrie nog niet eerder heeft gezien, werd de 10- jarige Tricon-controller van de eindgebruiker gemanipuleerd. Het Tricon-systeem constateerde echter een afwijking en gedroeg zich zoals het moest: het heeft de installatie in een veilige toestand gebracht via een shutdown op 4 augustus 2017.’
Volgens een woordvoerder van Schneider Electric was de aanval niet specifiek gericht op Triconex, maar richtten de cybercriminelen zich specifiek op de chemiefabriek en maakten ze daarbij gebruik van meerdere kwetsbaarheden in verschillende lagen van de ict-beveiliging, het netwerk en konden zo de Tricon-controller manipuleren. ‘We hebben het in dit specifieke geval niet over een virus dat gemakkelijk kan worden verspreid. De malware kan alleen succesvol worden geladen als er verschillende voorwaarden aanwezig zijn, waaronder:
Het veiligheidsnetwerk moet lokaal of op afstand toegankelijk zijn.
De faciliteit moet een oudere Triconex Tricon-controller gebruiken die is geconfigureerd met de model- 3008 hoofdprocessor en firmwareversies 10.0 tot 10.4.
De aanvallers moeten toegang hebben tot de TriStation-terminal of een andere machine die is verbonden met dat veiligheidsnetwerk.
Volgens de leverancier is de aanval een waarschuwing voor alle bedrijven binnen de chemische en proces-industrie en de beveiliging daarvan dat beveiliging over de hele linie in orde moet zijn. Schneider Electric roept op om de samenwerking tussen alle betrokkenen verder te verbeteren. Om veiligheidsredenen wordt de naam van de chemiefabriek waar het incident plaatsvond niet gedeeld.
De vraag is of het Triconex-veiligheidssysteem aan het internet gekoppeld was en/of het veiligheidssysteem door besmette media in gevaar is gebracht. Het eerste is een beslissing met mogelijk zeer vergaande consequenties. Bij het tweede zou er een in eerste instantie onopgemerkte slordige handeling hebben plaatsgevonden. Volgens bronnen zouden beide een rol gespeeld hebben om uiteindelijk een bug in oude firmware te misbruiken.
Zijn we voorbereid op een Cyber war? Ik denk van niet.