Cyberattacks op energievoorziening in de Oekraïne – wat kan je daarvan leren?

Sans630415ISP Today wordt vaak benaderd met de vraag: “is dit niks voor jullie?” Dat betreft niet zelden een uitnodiging voor events waarbij het pitchen van een product of dienst wel erg nadrukkelijk op de agenda staat. Voor het meewerken aan dat soort free publicity zijn we slecht te porren. De vraag kan echter ook komen van bedrijven of organisaties die niet uit zijn op meer verkopen, maar gewoon oprecht kennis willen delen, of dat in ieder geval claimen. Dan is het een ander verhaal, dan kijken we graag iets verder dan de eerste mail en soms levert dat input op waarvan de denken dat het goed is om met de sector te delen.

Zo kregen we eerder deze week de vraag voorgelegd of we aanwezig konden zijn op een lezing van SANS. In 1989 opgericht als onderzoeks- en opleidingscoöperatie en binnen de security hoek behoorlijk bekend als de plek om de benodigde certificaten en studiepunten te behalen. Deze hele week waren er in Amsterdam trainingen en cursussen, tijdens de avonden waren er lezingen. De lezing waar ISP Today voor was gevraagd werd gegeven door Mark Lee en zou uitleg geven over het omvangrijke cyberincident waarmee begin dit jaar een deel van de energievoorziening van de Oekraïne werd platgelegd.

Voor circa 50 toehoorders, de meeste daarvan waren cursisten, werd uitgelegd wat er wel aan de hand kan zijn geweest en wat nadrukkelijk als minder logisch moet worden geclassificeerd. Een groot deel van het verhaal was voor de primaire doelgroep van ISP Today wellicht te specialistisch. Maar mocht je de details (en de hoaxes) willen weten dan is deze link naar een artikel van SANS hierover de moeite waard.

Wat hoe dan ook de moeite van het onthouden waard was:

  • de aanval was 6 maanden eerder al heel voorzichtig, maar gericht ingezet. Toen was via spearfishing de eerste toegang tot de systemen verkregen. Daarna was er maanden tijd nodig om verder op in het netwerk de boel te kunnen gaan ontregelen (eerst de originele firmwares kopiëren, daar foute versies van ontwikkelen en die installeren). 6 maanden waarin de energiebedrijven niets is opgevallen;
  • het effect van spearfishing zegt iets over awareness van het personeel;
  • de stap daarop volgend was makkelijk voor de cybercriminelen omdat nergens met 2FA werd gewerkt;
  • een van de energieverdelers die tijdens de cyberaanval overeind bleef, bleef dat omdat men vernam dat er elders ernstige problemen waren. In reactie op die melding zijn alle VPN’s uitgeschakeld en daardoor kon de doodsteek niet worden toegebracht;
  •  tegelijk met de black-out actie werden de callcenters van de energiemaatschappijen massaal de DDOs. Doel: nog meer chaos creëren.

5 punten die je stuk voor stuk kunt betrekken op je eigen business en die van je klanten. Zeker als je klanten heb die super afhankelijk zijn van het internet is het zo gek niet in een gesprek met ze eens op deze case te wijzen. Voordeel: SANS is een gevestigde naam en alles behalve een overactieve hardware vendor.

 

(edit: 13:15 – hier nog de rechtstreekse link naar de Analysis of the Cyber Attack on the Ukrainian Power Grid – pdf)