DIVD legt kwetsbaarheden in zonnepanelen en omvormers bloot

De omvormers van bijna een miljoen zonnepanelen ter wereld, waarvan tenminste 42.000 in Nederland, zijn zeer kwetsbaar geweest voor cyberaanvallen door slechte beveiliging van de backend systemen China. Dat hebben de Nederlandse hackers van het Dutch Institute for Vulnerability Disclosure ontdekt. Via eerder naar GitHub gelekte super admin wachtwoorden konden zij eenvoudig toegang krijgen tot het beheerpaneel van het Chinese bedrijf Solarman dat zonnepanelen, omvormers en batterijen in beheer heeft.

Solarman levert apparatuur en een platform om de energie opgewekt via lokale zonnepanelen te monitoren en zo mogelijk terug te leveren aan het stroomnet. DIVD hackers konden via het super admin account lijsten van duizenden Nederlandse namen en adressen inzien. In theorie konden ze klanten aanmaken of verwijderen en alle gegevens bekijken waaronder de hoeveelheid opgewekte stroom, of de panelen aan het internet verbonden waren en of er storingen in het systeem waren.

Een cybercrimineel met toegang tot dit beheerdersaccount zou, in theorie, nieuwe firmware kunnen uploaden naar deze inverters en er een groot botnet van kunnen maken met mogelijk desastreuze gevolgen voor het wereldwijde elektriciteitsnetwerk.. Het op tactische tijdstippen uit- en snel weer inschakelen van grote aantallen omvormers zou een klap voor het elektriciteitsnet zijn.

DIVD heeft op diverse manieren contact gezocht met Solarman om deze bevindingen te melden en het bedrijf ervan te doordringen dat hun systemen kwetsbaar zijn, maar elk antwoord bleef uit. Uiteindelijk is op verzoek van DIVD de Nederlandse Ambassade in China in actie gekomen om contact te leggen tussen de Nederlanders en Solarman. Ook de Chinese CERT, CN-CERT heeft hierbij een rol gespeeld. De inloggegevens zijn daarna gewijzigd.

Dit onderzoek heeft vorig jaar plaatsgevonden en is vandaag openbaar gemaakt tijdens het hackerskamp “MCH2022”  in Zeewolde.

Lees meer over dit onderzoek op Follow The Money

.