De belangrijkste factoren die bijdragen aan het succes van Advanced Persistent Threat (APT)-operaties binnen netwerken van hun slachtoffers zijn onder meer menselijke factoren, onvoldoende beveiligingsmaatregelen, uitdagingen met updates en de configuratie van cybersecurityoplossingen. Hoewel sommige van deze redenen onbeduidend lijken, worden ze vaak aangetroffen door Kaspersky-experts tijdens hun incident response activiteiten. Kaspersky ICS CERT-experts hebben een lijst samengesteld van de meest voorkomende problemen.
Gebrek aan isolatie van het OT-netwerk
Kaspersky-experts kwamen gevallen tegen waarin er problemen waren met het gescheiden en veilig houden van het Operational Technology(OT)-netwerk. Er zijn bijvoorbeeld machines zoals engineering werkstations die zowel op het reguliere IT-netwerk als op het OT-netwerk zijn aangesloten.
“In situaties waarin de isolatie van het OT-netwerk uitsluitend berust op de configuratie van netwerkapparatuur, kunnen ervaren aanvallers die apparatuur altijd in hun voordeel herconfigureren”, aldus Evgeny Goncharov, hoofd van het Industrial Control Systems Cyber Emergency Response Team bij Kaspersky. “Ze kunnen er bijvoorbeeld proxyservers van maken om malwareverkeer te controleren of ze zelfs gebruiken om malware op te slaan en af te leveren op netwerken waarvan werd aangenomen dat ze geïsoleerd waren. We zijn meerdere keren getuige geweest van dergelijke kwaadaardige activiteiten.”
Menselijke factor blijft drijvende kracht achter cybercriminele activiteiten
Bij het verlenen van toegang tot OT-netwerken aan werknemers of aannemers worden informatiebeveiligingsmaatregelen vaak over het hoofd gezien. Hulpprogramma’s voor beheer op afstand zoals TeamViewer of Anydesk, die aanvankelijk tijdelijk zijn ingesteld, kunnen ongemerkt actief blijven. Het is echter cruciaal om te onthouden dat deze kanalen gemakkelijk door aanvallers kunnen worden misbruikt.
Ook ontevreden werknemers kunnen zich inlaten met cybercriminele acties, bijvoorbeeld vanwege werkbeoordelingen, inkomen of politieke motivaties. Een mogelijke oplossing in een dergelijke situatie is Zero Trust, het concept waarbij ervan wordt uitgegaan dat noch gebruiker, apparaat of toepassing binnen het systeem wordt vertrouwd.
Onvoldoende bescherming van OT-apparatuur
Tijdens de analyse van incidenten hebben Kaspersky-experts verouderde databases van beveiligingsoplossingen, ontbrekende licentiesleutels, uitgeschakelde beveiligingscomponenten en buitensporige uitsluitingen van scanning en bescherming ontdekt. Dit droeg allemaal bij aan de verspreiding van malware.
Onveilige configuraties van beveiligingsoplossingen
Juiste configuraties van een beveiligingsoplossing zijn cruciaal om te voorkomen dat deze wordt uitgeschakeld of zelfs misbruikt – een tactiek die vaak wordt toegepast door APT-groepen/actoren. Zij kunnen informatie die is opgeslagen in de beveiligingsoplossing over het netwerk van het slachtoffer stelen om in andere delen van het systeem te komen, of zich zijdelings verplaatsen, gebruikmakend van professionele infosec-taal.
De afwezigheid van cyberbeveiligingsbescherming in OT-netwerken
Het is misschien moeilijk te geloven, maar in sommige OT-netwerken zijn op veel endpoints helemaal geen cybersecurityoplossingen geïnstalleerd. Zelfs als het OT-netwerk volledig is gescheiden van andere netwerken en niet is aangesloten op het internet, hebben aanvallers nog steeds manieren om toegang te krijgen. Zij kunnen bijvoorbeeld speciale versies van malware maken die via verwijderbare schijven, zoals USB’s, worden verspreid.
Uitdagingen voor beveiligingsupdates voor werkstations en servers
Industriële besturingssystemen hebben een unieke manier van werken, waarbij zelfs eenvoudige taken zoals het installeren van beveiligingsupdates op werkstations en servers zorgvuldig moeten worden getest. Dit testen gebeurt vaak tijdens gepland onderhoud, waardoor updates niet vaak voorkomen. Dit geeft criminelen ruim de tijd om bekende zwakheden uit te buiten en hun aanvallen uit te voeren.
“In sommige gevallen vereist het bijwerken van het besturingssysteem van de server een update van gespecialiseerde software, die op zijn beurt een upgrade van de apparatuur vereist – dat alles kan te duur zijn. Met als gevolg dat er verouderde systemen zijn te vinden op netwerken van industriële besturingssystemen,” voegt Goncharov eraan toe. “Verrassend genoeg kunnen zelfs internetgerichte systemen in industriële ondernemingen, die relatief eenvoudig te updaten zijn, lange tijd kwetsbaar blijven. Dit stelt de operationele technologie (OT) bloot aan aanvallen en ernstige risico’s, zoals realistische aanvalsscenario’s hebben aangetoond.”