Veel zogenaamde ransomware-aanvallen op OT-omgevingen zijn eigenlijk aanvallen op IT-omgevingen. Vandaar dat Ric Derbyshire, Sr. Security Researcher, en Charl van der Walt, Head of Threat Research, van Orange Cyberdefense aan de slag gingen om op een wetenschappelijk verantwoorde manier een ‘echte’ afpersingsaanval op OT te bedenken en te testen. Niet alleen om hiermee aan te tonen dat dit een wezenlijk ander type aanval is, maar ook om de industrie als geheel vooruit te helpen. Wij spraken ze recent uitgebreid tijdens de RSA Conference.
Ransomware is al enkele jaren het voornaamste gespreksonderwerp in de security-wereld. Ook in OT-omgevingen is de impact inmiddels goed voelbaar. Volgens Van der Walt is met name de maakindustrie vaak slachtoffer van wat hij overigens geen ransomware wil noemen. Hij heeft het liever over cyber extortion. De ransomware is immers niet het strafbare feit, dat is namelijk de afpersing erna: “Ransomware is een mechanisme om dit te bereiken”.
Maar goed, terug naar de OT-omgevingen die te maken hebben met deze cyberafpersing. Volgens Van der Walt is de maakindustrie inmiddels goed voor 25 procent van de aanvallen op deze omgevingen. Dat is niet omdat ze vaker aangevallen worden, maar omdat ze simpelweg vaker slachtoffer worden. Dat impliceert dat deze omgevingen kwetsbaarder zijn. Vandaar ook dat we tegenwoordig heel veel horen over OT-security. De teneur is hierbij af en toe dat we aan de vooravond van een OT-apocalyps staan.
Aanvallen op OT-omgevingen sterk gestegen, of toch niet?
Op basis van de cijfers die Van der Walt en Derbyshire in ons gesprek aanhalen is het op zich niet gek dat OT-security als enorm probleem wordt gezien. Ze hebben 35 jaar aan data verzameld van gerapporteerde incidenten, van 1988 tot en met 2023. Daaruit blijkt dat OT tussen 1988 en 2020 vrijwel nooit een doelwit was. Dat veranderde in 2020 compleet. Sindsdien is er een enorme explosie geweest in aanvallen. De opkomst van RaaS (Ransomware-as-a-Service) in 2020 en double extortion zal hier ongetwijfeld aan bijgedragen hebben.
Het viel Van der Walt echter ook op dat deze explosie aan aanvallen niet werd uitgevoerd door partijen van wie je het zou verwachten: “Het waren cybercriminelen, niet statelijke actoren of hacktivisten.” Dat is niet wat je wellicht zou verwachten, want OT is toch voornamelijk een doelwit als je iets uit wilt schakelen, kapot wilt maken of onklaar wilt maken. Althans, dat is het gangbare verhaal. In de praktijk blijkt dit in onder andere de maakindustrie dus behoorlijk anders te liggen.
Van der Walt ziet echter ook nog iets anders: “De impact van de aanvallen zit vooral in de hogere lagen van het Purdue-model.” Dit model richt zich op het beschrijven van industriële systemen. Dat is omdat ze helemaal niet OT als doelwit hebben, maar IT. Die twee omgevingen smelten steeds meer samen, waardoor er wellicht sprake is van een zekere mate van vertroebeling. IT is sowieso een interessanter doelwit voor ransomware-aanvallen en de afpersing die erbij hoort, geeft Derbyshire aan. “IT heeft data, dat is natuurlijk erg belangrijk voor ransomware-aanvallen.”
We zitten niet in de OT-apocalyps
Je zou dus op basis van bovenstaande cijfers en bevindingen kunnen zeggen dat datgene wat we aanvallen op OT-omgevingen noemen eigenlijk gewoon aanvallen op IT-omgevingen zijn die toevallig gekoppeld zijn aan OT-omgevingen. Criminelen hebben helemaal geen interesse in de typische doelstellingen van een aanval op OT. Die willen geen dingen kapot maken, ze willen over het algemeen betaald krijgen voor het niet lekken van data.
Het hele narratief rondom aanvallen op OT-omgevingen is wat Van der Walt betreft dan ook behoorlijk overdreven. “We zitten niet in de OT-apocalyps”, in zijn woorden. Dat is belangrijk om te weten, vindt hij. “Er is namelijk een narratief in de markt dat erop uit is om organisaties zover te krijgen actie te ondernemen en te investeren.” Met andere woorden, we horen steeds meer dat OT-omgevingen continu worden aangevallen. Onderaan de streep zijn dit dus eigenlijk aanvallen op de IT-omgevingen van organisaties. Daar moet iedereen wat duidelijker over zijn.
Dit onderscheid is belangrijk om te maken volgens Van der Walt: “Het is belangrijk om duidelijk en precies te zijn.” De leveranciers in de security-industrie spelen hier een belangrijke rol in. “We hebben geen leveranciers nodig die dingen verkopen die niemand nodig heeft”, is hij van mening.
Echte OT-aanvallen en -cyberafpersing zijn wel mogelijk
De meeste aanvallen die de boeken ingaan als aanvallen op OT-omgevingen zijn dat op basis van de cijfers en inzichten die Van der Walt en Derbyshire hebben opgedaan dus niet. Dat betekent echter nog niet dat dergelijke aanvallen niet mogelijk zijn. “Er is wel degelijk een zeer beangstigend risico dat aanvallers de OT-omgeving over kunnen nemen”, zoals Derbyshire het stelt. Want het is wel degelijk mogelijk. Om dat aan te tonen, heeft hij een aanval op poten gezet en daarover gepubliceerd in wetenschappelijke kringen. Want ook deze aanvallen moeten we beter begrijpen, is het idee erachter.
Bij de aanval die Derbyshire heeft bedacht en uitgevoerd op echte Siemens-apparatuur speelt IT ook een rol overigens. De aanvaller moet in zijn scenario eerst toegang krijgen tot workstations die de PLC’s in de OT-omgeving aansturen. Een belangrijke nuance is echter dat deze alleen nodig zijn om in de OT-omgeving te komen. Als ze eenmaal controle hebben over de OT-omgeving via de workstations, vindt die controle plaats op de achtergrond, binnen de OT-omgeving. Dat proces beschrijven de auteurs tot in detail in het paper dat ze erover hebben gepubliceerd.
Het idee achter de aanval is dat er vervolgens ook daadwerkelijk afpersing plaats kan vinden. Dat maakt het interessant voor criminelen, want die kunnen dan om losgeld vragen om de controle over de OT-omgeving weer terug te geven. Uiteraard kan een bedrijf er ook voor kiezen om gewoon alles los te koppelen en alle PLC’s te vervangen, maar dat is economisch waarschijnlijk nog veel kostbaarder, zeker in grotere omgevingen.
In de aanval die Derbyshire en Van der Walt hebben bedacht, speelt ook monitoring een grote rol. Het is namelijk niet alleen mogelijk om na het verkrijgen van controle over de OT-omgeving te bepalen of en wanneer de afpersers de schakelaar om kunnen zetten. De aangevallen organisatie kan daarnaast ook niet veel doen om erachter te komen wat er aan de hand is. De aanvaller/afperser houdt de omgeving namelijk continu in de gaten. Mist een PLC ook maar een enkele heartbeat, dan gaat meteen alles op zwart. De naam van de aanval is niet voor niets Dead Man’s PLC. Hij maakt gebruik van een dodemansknop.
Hieronder zie je een schema van hoe Dead Man’s PLC werkt. De drie genummerde blokken zijn de PLC’s. Links bovenin zie je het workstation die de aansturing en de monitoring doet. De oranje lijnen geven de onderlinge verbindingen aan en dus ook de onderlinge afhankelijkheid. De groene lijnen zijn de heartbeats die binnen moeten blijven komen om de dodemansknop niet in te hoeven zetten.
Kans op echte OT-aanvallen is klein
OT-aanvallen zoals we hierboven hebben beschreven, mogen dan mogelijk zijn, de kans dat ze ook echt gaat plaatsvinden is niet groot. Dat geven Van der Walt en Derbyshire ook meteen toe. “Dan zouden behoorlijk wat dingen precies op hun plaats moeten vallen”, in de woorden van Van der Walt.
Het artikel en het onderzoek zijn dan ook primair een academische exercitie. Deze is niet bedoeld om een belangrijke, nieuwe aanvalsmethode uit de doeken te doen. Dan zou die immers ook in de praktijk al veel voorkomen. En dat is niet het geval.
Nee, het gaat er vooral om dat we (ransomware-)aanvallen op OT-omgevingen zien voor wat ze zijn: vaak IT-gedreven aanvallen die een impact hebben op de OT-omgevingen van organisaties. Het is dan ook zaak om de aanvallen in de IT-omgevingen te stoppen. Eenmaal in de OT-omgeving is er namelijk vrijwel geen security-tooling meer. Dan kunnen aanvallers nagenoeg ongestoord hun gang gaan zonder dat iemand hen ziet. Voor criminelen die snel losgeld willen is dit wellicht niet de snelste route tot succes, maar voor statelijke actoren en hacktivisten kan dit wel degelijk interessant zijn.
OT-security heeft wel meer aandacht nodig
Tot slot is het nog goed om op te merken dat OT-security wel degelijk aandacht nodig heeft. Dat betwisten Derbyshire en Van der Walt ook zeker niet. Ze willen vooral een bijdrage leveren aan de discussie over wat een OT-aanval nu eigenlijk echt is. Zoals Van der Walt het samenvat: “IT-security is er al zo’n 25 jaar, OT-security is nog heel jong. We zouden geleerd moeten hebben van onze fouten, dus het zou niet nog eens 25 jaar moeten duren om OT op het punt te krijgen waar IT nu zit.”
Deze ambitie begint met een goed begrip van waar we het over hebben. Dat is een belangrijk onderdeel van wat de heren van Orange Cyberdefense willen bijdragen aan de discussie. Terloops laten ze ook nog zien hoe een echte OT-aanval er wel uit zou kunnen zien. Ook daar kunnen we iets van leren. En dat is uiteindelijk het punt van de wetenschappelijke methode: hypotheses doen, deze verder uitbreiden of proberen te ontkrachten en zo proberen de wetenschap en in dit geval de security-industrie verder te brengen.