Security update CyberArk Labs: Meer duidelijkheid over aanval op elektriciteitscentrale in Oekraïne

Er komen steeds meer details naar boven over de cyberaanval op een elektriciteitscentrale in Oekraïne. Inmiddels blijkt dat het een aanval is geweest met de Crash Override malware, soms ook Industroyer genoemd. Het voorval waarbij een groot gedeelte van Kiev een uur lang zonder stroom zat, vond rond de jaarwisseling plaats, maar nu wordt pas de ernst van de zaak duidelijk.

Waar security-experts een tijdlang voor hebben gewaarschuwd, is waarheid geworden: de dreiging tot het platleggen van cruciale infrastructuur van een land is echt mogelijk. Industriële bedrijven en nutsvoorzieningen moeten nu actie ondernemen om zichzelf beter te beschermen.

De elektriciteitsvoorziening in Oekraïne lag al eerder onder cybervuur in 2015. Die aanval zorgde nauwelijks voor problemen, in vergelijking tot de recente aanval. Het verschil zit in schaalbaarheid: de Crash Override malware kan zich automatisch aanpassen aan veranderende omstandigheden. Dit zorgt ervoor dat toekomstige aanvallen sneller kunnen plaatsvinden, met minder voorbereiding en minder mankracht. Pro-actieve tegenmaatregelen worden dus nog belangrijker om grootschalige downtime te voorkomen.

De risico’s rond cruciale infrastructuur waren al gestegen doordat Industrial Control Systems (ICS) steeds meer in verbinding staan met operationele systemen en IT-systemen. Voorheen waren deze altijd geïsoleerd van elkaar en niet verbonden met internet. Connectiviteit biedt te veel voordelen om dat te handhaven, maar daar komen ook risico’s bij kijken. Met het oog op agressieve, dynamische malware als Crash Override is het van belang om technologie in te zetten die de systemen toch weer tot bepaalde niveaus isoleert, zodat aanvallers niet zomaar van systeem naar systeem kunnen gaan en op afstand operationele functies over kunnen nemen.

Veel standaardregels in security, zoals proactieve bescherming van privileged accounts en ICS-inloggegevens, veranderen van standaard wachtwoorden, rotatie van beheerderswachtwoorden en monitoring van het gebruik van accounts met meer rechten, blijven cruciaal voor een veilige werkomgeving. Hier hoort ook het beheer van lokale beheerdersrechten bij en het whitelisten en beheren van applicaties op kritische endpoints en servers.

Het alles overrompelende Crash Override moet bedrijven wakker schudden. De best practices bestaan, maar ze moeten ook worden toegepast. Pas dan ben je in staat een weerwoord te bieden tegen aanvallen op ICS-omgevingen en infrastructuur.