Inleiding
In opdracht van een klant hebben we een eerste onderzoek gedaan om de malware bedreigingen voor niet ‘kantoor automatisering’ gerelateerde systemen in kaart te brengen. Onze klant maakte zich zorgen over de impact van malware die via de kantoorsystemen de productiesystemen zou kunnen besmetten en daarmee de bedrijfsvoering in gevaar zou kunnen brengen. 

Dit verhaal leest hier en daar een beetje als een misdaadroman maar is op algemeen bekende informatie.

Onze klant vroeg ons om, gezien de cyberaanvallen in Mei 2017, te onderzoeken welke impact een cyberaanval kan hebben en om na te denken over manieren om de ICT infrastructuur beter tegen dit soort aanvallen te beveiligen zodat de bedrijfsvoering niet in gevaar komt.


Algemene informatie
In een industriële omgeving worden nogal eens machines gebruikt die bestuurd worden door op Windows gebaseerde systemen. Omdat het daarbij nogal eens om kostbare machines met een lange levensduur gaat zijn de gebruikte besturingssystemen vaak verouderd. Met verouderd bedoel ik Windows XP of een nog ouder besturingssysteem zoals Windows 2000, Windows NT of zelfs Windows 95/98. Om te voorkomen dat die machines ‘onverwachte’ problemen krijgen worden updates op die machines door de leveranciers in het algemeen uitgeschakeld. Daarbij zijnde  machines meestal niet voorzien van anti-virus software of een firewall. Daarmee neemt misschien de kans op onverwachte problemen af maar de machine wordt hierdoor wel erg kwetsbaar. Dit soort machines heeft vaak geen herkenbare gebruikersinterface en vaak ook geen beeldscherm. Van buiten zijn deze machines dan ook vaak niet als een op Windows gebaseerde machines te herkennen. Wij komen dit soort machines bij klanten tegen in de vorm van o:a.: CNC machines, betaalterminals , zaag en freesmachines e.d. Tot voor kort gingen wij er vanuit dat machines waarop niet door een gebruiker gewerkt wordt veilig zijn, zelfs als er geen virusscanner of andere protectie actief is.

Cyberaanval 12 mei 2017
Cyberaanvallen vinden het hele jaar door plaats. Wat opvalt is dat de laatste steeds vaker aanvallen uitgevoerd worden met Ransomware. Bij een Ransomware aanval wordt door het klikken op een link (die uitkomt op een besmette of geprepareerde webserver)  of het openen van een geprepareerde bijlage in een razendsnel tempo bestanden versleuteld. Tegen het betalen van een losgeld (meestal in Bitcoins) kan het slachtoffer een sleutel kopen waarmee de bestanden ont-sleutelt kunnen worden. Webservers, ook van bekende bedrijven, zijn bijlange na niet altijd goed beveiligd en vormen dus een serieuze bron van infecties voor bezoekers. In een artikel van de Telegraaf van 11-4-2016 wordt melding gemaakt van honderden websites die via een besmette advertentie bezoekers probeerde te besmetten. Als voorbeelden worden genoemd: marktplaats.nl, sbs6.nl, rtlnieuws.nl, rtlz.nl, buienradar.nl en startpagina.nl. Maar ook de telegraaf.nl is een website die volgens mijn informatie meer dan eens besmet was. 

De eerst aanval waarbij een klant van ons met Ransomware besmet is dateert van het voorjaar 2015. Inmiddels hebben bij onze klanten een klein tiental succesvolle besmettingen plaatsgevonden. Na de eerste 2-3 aanvallen hebben wij een intern protocol gemaakt waarmee we de effecten van zo’n aanval binnen een aantal uren teniet kunnen doen. In het ergste geval gaan een aantal documenten, waaraan op het moment van de aanval gewerkt werd, verloren.  Behalve wat overlast en de kosten van onze technici hebben deze aanvallen in het algemeen weinig effect voor onze klanten. Maar omdat ‘voorkomen beter is dan genezen’ zijn we op zoek gegaan naar extra protectie.

De besmettingen die bij onze klanten voorkwamen zijn in alle gevallen veroorzaakt door het openen van besmette bijlagen, vaak in de vorm van een uitvoerbaar programma dat verpakt zat in  een ZIP bestand. Aanvallen via besmette website die in de vorm van een link in een email verstuurd worden maken vaak gebruik van zwakke plekken in het besturingssysteem die nog niet ‘gepatched’ zijn. Dit zijn de zogenaamde ‘zero-day-atacks’. De naam ‘zero day’ duidt op het feit dat op dag 0 het systeem nog kwetsbaar is. Na het bekend worden van dit ‘lek’ op Dag1 wordt er gewerkt aan het ‘dichten van het lek’ en neemt de kans op een succesvolle aanval met het uur af. De EQUA policy is dat systemen ‘up-to-date’ moeten zijn en mede daarom hebben er bij onze klanten tot op heden nog geen succesvolle ‘zero-day-attacks’ plaatsgevonden. Maar tijdens ‘dag 0’  zijn ook de systemen van onze klanten kwetsbaar.

Inmiddels hebben veel van onze klanten een extra beschermingslaag die beschermd tegen virussen, gevaarlijke bestanden en malafide links. Links in een ontvangen email worden zodanig gewijzigd dat deze niet meer verwijzen naar de originele bron maar naar een proxyserver verwijzen en de link wordt, als er op geklikt wordt, in een beveiligde omgeving geopend en op ongewenst activiteiten gecontroleerd. Pas als dit zonder gevaar gaat krijgt de gebruiker de resultaten van deze ‘klik’ te zien. Het enige nadeel zijn de extra kosten en een kleine vertraging bij het openen van webpagina’s. Tot nu toe hebben klanten met deze extra protectie nog nooit een infectie gehad.

Onze beveiliging bestaat uit 3 belangrijke punten:
1.    Updates snel en installeren;
2.    Goede malware protectie;
3.    Email protectie

Verder is ook Windows 10/Server 2016 een veiliger systeem, zijn wij kritisch met het toekennen van rechten en maken we gebruik van professionele firewalls. Binnen redelijkheid zijn de netwerken en systemen van onze klanten dan ook goed beveiligd. Extra beveiligingen in de vorm van nog betere routers/firewalls en 2-factor authenticatie zijn mogelijkheden die de laatste tijd extra belangstelling genieten. Zoals verderop blijkt is zelfs de Amerikaans geheim dienst (NSA) niet immuun voor hackers en het is dus naïef om te veronderstellen dat netwerken van onze klanten immuun zijn tegen aanvallen zijn. Daarbij helpt de beste beveiliging niet als er een al dan niet opzettelijk ‘achterdeurtjes’ aanwezig zijn in het besturingssysteem. Een van onze klanten, een bekende strafpleiter, heeft zijn PC daarom niet met het internet gekoppeld. Dat is in elk optimaal geval veilig wat aanvallen van het internet betreft, al zal een dergelijk drastische keuze voor veel van onze klanten geen haalbare optie zijn. 

Elke extra laag ven beveiliging leidt tot extra kosten en extra complexiteit en is daarom financieel niet altijd haalbaar, moeilijker voor de gebruikers en complexer in het onderhoud.

De Wannacry aanval van 12 mei 2017
Deze aanval heeft een hoog ‘James Bond 007’ gehalte. Het Wannacry virus was een RANSOMWARE aanval met 2 opvallende verschillen t.o.v. de eerdere ‘simpele’ aanvallen:

1.    Wannacry maakte gebruik van een ‘Zero-day-vulnerability’ die door Hackers genaamd de “Shadow Brokers’ na een inbraak (april 2017) bij de NSA gestolen werd. De NSA was in het bezit van een ‘Zero-day-vulnerability’ in het SMB v1 protocol van Microsoft dat al bestaat bestond sinds 1995 (Windows 95/NT). Veel ‘insiders’ geloven niet dat dit een ‘fout’ is maar dat het een opzettelijke in het besturingssysteem ingebouwde zwakte betreft met als doel om systemen te kunnen aanvallen. Dat de NSA een aantal ‘Zero-day-vulnerability’ op de plan heeft liggen is bekend bij Microsoft en wordt, in elk geval publiekelijk, door Microsoft veroordeeld. Het hierboven genoemde SMBv1 lek werd door Microsoft op 14 mei 2017  publiek gemaakt (beveiligingsbulletin MS17-010) en ‘gepatcht’. Dus in dit geval pas 2 dagen na de wereldwijde cyberaanval. Een nieuwe aanval gebaseerd op hetzelfde ‘SMVv1 lek’ vond plaats op 27 juni 2017 (‘NotPetya’ virus). XP was het laatste systeem dat actief gebruik maakt van het SMBv1 protocol. Nieuwe systemen maken gebruik van SMB2.0 of  nieuwer. Wannacry was voorzien van een zg ‘killswitch’ waarmee de infectie in een keer tot stoppen gebracht kon worden. Nadat een 22 jarige technicus op 13 mei de ‘killswitch’ ontdekte eindigde de besmetting meteen. De opbrengst van de Wannacry aanval wordt geschat op 15 Bitcoins (ca. $ 26.000), de schade loopt echter in de miljoenen.

2.    Wannacry is behalve RANSOMWARE ook een WORM. De eigenschap van een WORM is dat deze zich verspreidt zonder tussenkomst van gebruikers. Dus eenmaal aanwezig op het netwerk gaat Wannacry op zoek naar andere computers met de SMBv1. Met name bij grote bedrijven die zeer terughoudend zijn met het ‘updaten’ van hun systemen en die gebruik maken van oude systemen werden tienduizenden computers geïnfecteerd en was de schade enorm. 


Een aantal vooraanstaande Europese bedrijven haalde het nieuws maar de meeste geïnfecteerde systemen van beide aanvallen bevonden zich in Rusland en China. De 2e aanval lijkt met ‘Nonpetya’ in eerste instantie gericht op de Oekraïne maar verspreidde zich vanaf daar razendsnel. De Oekraïense politie heeft een inval gedaan bij een bedrijf dat verdacht wordt van het verspreiden van dit virus en een persoon gearresteerd. Geen enkele netwerk dat bij EQUA in onderhoud is heeft te maken gekregen met WANNACRY of NotPetya.

Leermoment voor EQUA
Ondanks het feit dat geen enkele van onze klanten succesvol is aangevallen hebben de effecten een diepe indruk gemaakt. Systemen van die we voorheen dachten dat ze geen risico vormden blijken wel degelijk kwetsbaar te zijn. Daarbij hebben klanten van ons systemen in gebruik van die we niets eens weten dat ze via op Windows gebaseerde software aangestuurd worden.

Risico’s voor klanten
Ondanks onze beveiligingen is het niet uit te sluiten dat er ook bij onze klanten een infectie met een dergelijk virus kan plaatsvinden. 100% Voorkomen van een infectie kunnen we nooit maar we kunnen wel maatregelen treffen om de schade te beperken en extra drempels in te bouwen. Bij het uitvoeren van deze maatregelen hebben wij, zeker als het om industriële systemen gaat, de medewerking van externe leveranciers nodig. Denk hierbij bijvoorbeeld aan het in kaart brengen van systemen die van buitenaf niet als op Windows gebaseerde systemen herkenbaar zijn.

Op verzoek van klanten voeren wij een aantal handelingen uit met als doel de risico's te beperken en om, in het geval een aanval toch zou slagen, de schade willen beperken. 2 Belangrijke stappen zijn dan:

1.    Het maken en up-to-date houden van een calamiteitenplan
Dit bestaat uit het maken van een stappenplan én uit het maken van backups van alle belangrijke systemen
Het is ook van belang dat alle op Windows gebaseerde in kaart gebracht worden en dat van al deze systemen een bruikbare backup gemaakt wordt zodat, als het een keer fout gaat, het systeem snel hersteld kan worden.;

2.    Het fysiek scheiden van productiesystemen van het kantoor LAN
Het kantoor LAN is het meest kwetsbare LAN en het is dan ook raadzaam om alle productiesystemen te scheiden van dit LAN. We creëren in feite separate omgevingen. Infecties (WORM) kunnen dan niet zomaar overspringen van de ene omgeving op de  andere.

Wilt u meer info? Neem dan contact op met onze verkoop afdeling door te bellen naar 045 544 23 23 of stuur een email naar sales@equa.nl.

Bronnen:
http://webwereld.nl/security/99606-wat-is-het-verschil-tussen-petya-en-notpetya
http://thehackernews.com/2017/05/wannacry-ransomware-windows.html
https://nl.wikipedia.org/wiki/Zerodayattack
https://en.wikipedia.org/wiki/EternalBlue
https://nl.wikipedia.org/wiki/Computerworm
https://www.bleepingcomputer.com/news/security/new-data-shows-most-wannacry-victims-are-from-china-not-russia/
https://www.nytimes.com/2017/06/27/technology/ransomware-hackers.html?mcubz=3
http://www.zdnet.com/article/ukraine-police-arrest-suspect-behind-notpetya-ransomware-attack/
https://www.wired.com/2017/05/accidental-kill-switch-slowed-fridays-massive-ransomware-attack/
https://www.security.nl/posting/514661/Onderzoeker+vindt+%27killswitch%27+voor+grote+ransomware-aanval