Nieuw onderzoek heeft meer dan 145.000 aan het internet blootgestelde industriële controlesystemen (ICS) blootgelegd in 175 landen, waarbij de VS alleen al ruim een derde van de totale blootstelling voor haar rekening neemt.
Uit de analyse, afkomstig van Censys, een bedrijf dat aanvalsoppervlakken beheert, blijkt dat 38% van de apparaten zich in Noord-Amerika bevindt, 35,4% in Europa, 22,9% in Azië, 1,7% in Oceanië, 1,2% in Zuid-Amerika en 0,5% in Afrika.
De landen met de meeste blootstellingen aan ICS-diensten zijn onder meer de VS (meer dan 48.000), Turkije, Zuid-Korea, Italië, Canada, Spanje, China, Duitsland, Frankrijk, het VK, Japan, Zweden, Taiwan, Polen en Litouwen.
De statistieken zijn afgeleid van de blootstelling van verschillende veelgebruikte ICS-protocollen zoals Modbus, IEC 60870-5-104, CODESYS, OPC UA en andere.
Een belangrijk aspect dat opvalt is dat de aanvalsoppervlakken regionaal uniek zijn: Modbus, S7 en IEC 60870-5-104 worden op grotere schaal waargenomen in Europa, terwijl Fox, BACnet, ATG en C-more vaker worden aangetroffen in Noord-Europa. Amerika. Sommige ICS-services die in beide regio’s worden gebruikt, zijn onder meer EIP, FINS en WDBRPC.
Bovendien heeft 34% van de C-more mens-machine-interfaces (HMI’s) betrekking op water en afvalwater, terwijl 23% verband houdt met landbouwprocessen.
“Veel van deze protocollen dateren uit de jaren zeventig, maar blijven fundamenteel voor industriële processen zonder dezelfde veiligheidsverbeteringen die de rest van de wereld heeft gezien”, zegt Zakir Durumeric, medeoprichter en hoofdwetenschapper van Censys, in een verklaring.
“De veiligheid van ICS-apparaten is een cruciaal element bij het beschermen van de kritieke infrastructuur van een land. Om deze te beschermen, moeten we de nuances begrijpen van hoe deze apparaten worden blootgesteld en kwetsbaar zijn.”
Cyberaanvallen die specifiek gericht zijn op ICS-systemen zijn relatief zeldzaam: tot nu toe zijn er slechts negen soorten malware ontdekt. Dat gezegd hebbende, is er de afgelopen jaren sprake van een toename van op ICS gerichte malware, vooral in de nasleep van de aanhoudende Russisch-Oekraïense oorlog.
Eerder dit jaar onthulde Dragos dat een energiebedrijf in Oekraïne het doelwit was van malware die bekend staat als FrostyGoop, waarvan is vastgesteld dat deze Modbus TCP-communicatie gebruikt om operationele technologie (OT)-netwerken te verstoren.
De malware, ook wel BUSTLEBERM genoemd, is een Windows-opdrachtregelprogramma geschreven in Golang dat ervoor kan zorgen dat openbaar toegankelijke apparaten defect raken en uiteindelijk resulteren in een denial-of-service (DoS).
“Hoewel slechte actoren de malware gebruikten om ENCO-controleapparaten aan te vallen, kan de malware elk ander type apparaat aanvallen dat Modbus TCP spreekt”, aldus Palo Alto Networks Unit 42-onderzoekers Asher Davila en Chris Navarrete in een eerder deze week gepubliceerd rapport.
“De details die FrostyGoop nodig heeft om een Modbus TCP-verbinding tot stand te brengen en Modbus-opdrachten naar een gericht ICS-apparaat te sturen, kunnen worden verstrekt als opdrachtregelargumenten of worden opgenomen in een afzonderlijk JSON-configuratiebestand.”
Volgens telemetriegegevens die door het bedrijf zijn verzameld, zijn tussen 2 september en 2 oktober 2024 1.088.175 Modbus TCP-apparaten blootgesteld aan internet gedurende een periode van één maand.
Bedreigingsactoren hebben hun zinnen ook gezet op andere kritieke infrastructuurentiteiten, zoals waterschappen. Bij een incident dat vorig jaar in de VS werd geregistreerd, werd de gemeentelijke waterautoriteit van Aliquippa, Pennsylvania, overtreden door misbruik te maken van op internet blootgestelde Unitronics programmeerbare logische controllers (PLC’s) om systemen te bekladden met een anti-Israëlische boodschap.
Censys ontdekte dat HMI’s, die worden gebruikt om ICS-systemen te monitoren en ermee te communiceren, ook steeds vaker via internet beschikbaar worden gesteld om toegang op afstand te ondersteunen. Het merendeel van de blootgestelde HMI’s bevindt zich in de VS, gevolgd door Duitsland, Canada, Frankrijk, Oostenrijk, Italië, het Verenigd Koninkrijk, Australië, Spanje en Polen.
Interessant is dat de meeste van de geïdentificeerde HMI’s en ICS-diensten zich bevinden bij mobiele of zakelijke internetproviders (ISP’s) zoals onder meer Verizon, Deutsche Telekom, Magenta Telekom en Turkcell, en bieden verwaarloosbare metagegevens over wie het systeem daadwerkelijk gebruikt.
“HMI’s bevatten vaak bedrijfslogo’s of fabrieksnamen die kunnen helpen bij de identificatie van de eigenaar en de sector”, aldus Censys. “ICS-protocollen bieden zelden dezelfde informatie, waardoor het vrijwel onmogelijk wordt om eigenaren van blootstellingen te identificeren en op de hoogte te stellen. Samenwerking met grote telecombedrijven die deze diensten hosten is waarschijnlijk nodig om dit probleem op te lossen.”
Omdat ICS- en OT-netwerken een breed aanvalsoppervlak bieden waar kwaadwillende actoren misbruik van kunnen maken, moeten organisaties stappen ondernemen om blootgestelde OT- en ICS-apparaten te identificeren en te beveiligen, standaardreferenties bij te werken en netwerken te monitoren op kwaadwillige activiteiten.
Het risico voor dergelijke omgevingen wordt nog verergerd door een piek in botnet-malware – Aisuru, Kaiten, Gafgyt, Kaden en LOLFME – die de standaard OT-inloggegevens misbruikt om deze niet alleen te gebruiken voor het uitvoeren van DDoS-aanvallen (distributed denial-of-service), maar ook om gegevens te wissen gegevens die daarin aanwezig zijn.
De onthulling komt weken nadat Forescout onthulde dat Digital Imaging and Communications in Medicine (DICOM)-werkstations en Picture Archiving and Communication Systems (PACS), pompcontrollers en medische informatiesystemen de meest risicovolle medische apparaten zijn voor gezondheidszorgorganisaties (HDO’s).
DICOM is een van de meest gebruikte diensten door Internet of Medical Things (IoMT)-apparaten en een van de meest blootgestelde onlinediensten, merkte het cyberbeveiligingsbedrijf op, met een aanzienlijk aantal instanties in de VS, India, Duitsland, Brazilië, Iran, en China.
“Zorgorganisaties zullen geconfronteerd blijven worden met uitdagingen als het gaat om medische apparaten die gebruik maken van oudere of niet-standaardsystemen”, zegt Daniel dos Santos, hoofd veiligheidsonderzoek bij Forescout.
“Eén enkel zwak punt kan de deur openen naar gevoelige patiëntgegevens. Daarom zijn het identificeren en classificeren van middelen, het in kaart brengen van de netwerkstroom van communicatie, het segmenteren van netwerken en continue monitoring essentieel voor het beveiligen van groeiende gezondheidszorgnetwerken.”