Eind vorig jaar werd een elektriciteitscentrale in Oekraïne platgelegd. Een uur lang zat een groot gedeelte van Kiev zonder stroom. Nu blijkt dat de Crash Override malware (ook wel Industroyer genoemd) erachter zat. En dat het slechts een experimentje was. Waar security-experts een tijdlang voor hebben gewaarschuwd, is waarheid geworden: de dreiging tot het platleggen van cruciale infrastructuur van een land is echt mogelijk.
De elektriciteitsvoorziening in Oekraïne lag al eerder onder cybervuur in 2015. Die aanval zorgde nauwelijks voor problemen, in vergelijking tot de recente aanval. Het verschil zit in schaalbaarheid: de Crash Override malware kan zich automatisch aanpassen aan veranderende omstandigheden. Dit zorgt ervoor dat toekomstige aanvallen sneller kunnen plaatsvinden, met minder voorbereiding en minder mankracht. Het platleggen van de centrale was puur om te kijken of het zou lukken en de weg vrij te maken voor de toekomst. Pro-actieve tegenmaatregelen worden dus nog belangrijker om grootschalige downtime te voorkomen.
De risico’s rond cruciale infrastructuur waren al gestegen doordat industrial control systems (ics) steeds meer in verbinding staan met operationele systemen en it-systemen. Voorheen waren deze altijd geïsoleerd van elkaar en niet verbonden met internet. Connectiviteit biedt te veel voordelen om dat te handhaven, maar daar komen ook risico’s bij kijken. Met het oog op agressieve, dynamische malware als Crash Override is het van belang om technologie in te zetten die de systemen toch weer tot bepaalde niveaus isoleert, zodat aanvallers niet zomaar van systeem naar systeem kunnen gaan en op afstand operationele functies over kunnen nemen.
Veel standaardregels in security, zoals proactieve bescherming van privileged accounts en ics-inloggegevens, veranderen van standaard wachtwoorden, rotatie van beheerderswachtwoorden en monitoring van het gebruik van accounts met meer rechten, blijven cruciaal voor een veilige werkomgeving. Hier hoort ook het beheer van lokale beheerdersrechten bij en het whitelisten en beheren van applicaties op kritische endpoints en servers.
Het alles overrompelende Crash Override moet bedrijven wakker schudden. De best practices bestaan, maar ze moeten ook worden toegepast. Pas dan ben je in staat een weerwoord te bieden tegen aanvallen op ics-omgevingen en infrastructuur.