Het zijn niet alleen verkiezingen: Rusland heeft het Amerikaanse elektriciteitsnet gehackt

En het kan slechts de eerste fase zijn van een grotere aanval.

Een nieuw rapport van de Amerikaanse regering beschrijft een grote Russische cyberaanval op het Amerikaanse elektriciteitsnet, inclusief kerncentrales en waterfaciliteiten.

Een nieuw rapport van de Amerikaanse regering beschrijft een grote Russische cyberaanval op het Amerikaanse elektriciteitsnet, inclusief kerncentrales en waterfaciliteiten.

Scott Olson/Getty Images

Een enorm verhaal over Russisch hacken ging de afgelopen week verloren te midden van al het personeelsdrama van de regering-Trump en het nieuws over Stormy Daniels: op 15 maart bracht de Amerikaanse regering een rapport uit waarin een enorme Russische hackcampagne om de kritieke infrastructuur van Amerika te infiltreren - zaken als energiecentrales, nucleaire generatoren en waterfaciliteiten.



Het gezamenlijke rapport van de FBI en het Department of Homeland Security beweert dat Russische hackers toegang hebben gekregen tot computers in de beoogde industrieën en verzamelde gevoelige gegevens, waaronder wachtwoorden, logins en informatie over energieopwekking. Hoewel het rapport geen identificeerbare sabotage specificeert, kan de inbraak toekomstige aanvallen veroorzaken die meer doen dan alleen observaties vastleggen.

De dag nadat het rapport werd vrijgegeven, zei minister van Energie Rick Perry vertelde wetgevers tijdens een hoorzitting over kredieten dat cyberaanvallen letterlijk honderdduizenden keren per dag plaatsvinden, en waarschuwde dat het ministerie van Energie een kantoor voor cyberbeveiliging en noodhulp nodig heeft om voorbereid te zijn op dit soort bedreigingen in de toekomst.

zijn de eigenaren van chick fil a mormon

Dit rapport is een groot probleem: het is de eerste keer dat de Amerikaanse regering de Russische regering publiekelijk de schuld geeft van aanvallen op de energie-infrastructuur. Door de aanval expliciet op het Kremlin te pinnen, betekent dit dat de Verenigde Staten, in plaats van zich op de hackers als individuen te richten, nu kunnen reageren tegen Rusland als geheel.

Door de aanvallen te koppelen aan Russische inlichtingendiensten, kan de Amerikaanse regering vervolgens hoge leden van die agentschappen bestraffen voor de acties van hun ondergeschikten. Dit maakt verdere hackoperaties een stuk riskanter, niet alleen voor de hackers zelf, maar ook voor hun bazen en de overheid die hen geautoriseerd heeft. Het is een eerste stap in de richting van afschrikking in cyberspace.

De Russische hackers gebruikten decennia-oude tactieken om toegang te krijgen

Het rapport zegt dat Rusland zich richtte op energie- en andere kritieke infrastructuursectoren, een nutteloos grote categorie. Maar dit waren niet echt de eerste doelen.

Om toegang te krijgen tot de computers en interne netwerken van de energiecentrale vielen de hackers eerst kleinere, minder veilige bedrijven aan, zoals bedrijven die onderdelen voor generatoren maken of software verkopen die energiecentralebedrijven gebruiken.

De Russische hackers herhaalden vervolgens enkele van diezelfde technieken opnieuw om toegang te krijgen tot de primaire doelen.

Een manier waarop ze dat deden was om e-mails te verzenden vanaf een gecompromitteerd account dat de ontvanger vertrouwde en waarmee ze eerder contact hadden gehad, om de persoon die de e-mail ontving vertrouwelijke informatie te laten onthullen. Dit staat bekend als speervissen . Als de e-mail er bijvoorbeeld uitziet alsof hij afkomstig is van Bob van marketing, zal Alice deze eerder openen, zelfs als de e-mail daadwerkelijk door Eve uit Rusland is verzonden.

Een andere methode die ze gebruikten was waterholing. De hackers veranderden websites die mensen in de energiesector regelmatig bezoeken, zodat die websites informatie, zoals logins en wachtwoorden, konden verzamelen en terugsturen naar de hackers.

de geschiedenis van de kelly bende

Sommige gerichte gebruikers werden ertoe aangezet om verleidelijke Word-documenten te downloaden , zoals het rapport het formuleert, over controleprocessystemen (programma's die in wezen kijken naar andere programma's). Maar die documenten bleken eerder kwaadaardig dan aanlokkelijk. Door ze te openen, voerden de doelwitten programma's uit die hackers toegang gaven tot hun computers.

Na het verkrijgen van de logins die nodig waren om de computers voor de gek te houden om de aanvallers binnen te laten, zetten de indringers lokale beheerdersaccounts op (het soort met machtigingen om dingen te doen zoals het installeren van programma's) en gebruikten ze om meer malware in de netwerken te plaatsen. De code die ze gebruikten, bevatte ook stappen om de sporen van de indringers te verbergen, zoals automatisch om de acht uur uitloggen uit de beheerdersaccounts.

Het slechte nieuws is dat deze aanval veel van de oude methoden gebruikte om binnen te komen, zegt Bob Gourley, oprichter en chief technology officer van het technische adviesbureau. Cruciaal punt en auteur van het boek De cyberdreiging .

Bedrog, mensen op links laten klikken, het andere soort social engineering, phishing om ergens voet aan de grond te krijgen, dit was hetzelfde soort basisaanvalspatroon dat nu al tien jaar aan de gang is, zegt Gourley. Het was gewoon beter toegerust en gerichter, en ze hadden meer gerichte intelligentie.

De aanvallen gingen allemaal over scouting, niet over sabotage

Eenmaal binnen in de computers van een primair doelwit, als een energiebedrijf zetten de aanvallers vooral programma's op die informatie verzamelden. Deze programma's hebben screenshots gemaakt, details over de computer vastgelegd en informatie over gebruikersaccounts op die computer opgeslagen.

Het rapport zegt niet dat de aanvallers in staat waren te controleren hoe energiecentrales stroom opwekten. In plaats van de energieopwekking te verknoeien, keken de indringers naar en registreerden ze informatie van computers die de gegevens van de energieopwekkingssystemen ontvingen.

In wezen gaf deze aanval Rusland een kijkje in hoe Amerikaanse energiecentrales werken en rapporteerde gegevens. Die blik veranderde in een langdurige observatie.

Het DHS- en FBI-rapport is terughoudend over de impact en stelt simpelweg dat de campagne meerdere organisaties in de sectoren energie, kernenergie, water, luchtvaart, bouw en kritieke productie trof.

Maar hoe beïnvloedde het hen? We weten het niet echt. Het rapport noemt geen bedrijven, en ze mogen anoniem blijven in openbare publicaties over de aanvallen - op die manier kunnen de bedrijven rapporten over hacken met anderen delen en openen, zonder bang te hoeven zijn dat publieke kennis van de aanvallen investeerders in paniek zal brengen of klanten.

laat me een foto zien van charlie charlie

Niets in het rapport spreekt over sabotage of beschadiging van apparatuur. Maar als indringers op dezelfde manier in computers zouden kunnen binnendringen als tijdens deze verkenningsmissie, en de code op de beoogde computers net zo gemakkelijk konden wijzigen als ze deden, dan is er geen reden waarom ze niet nog een aanval zouden kunnen uitvoeren.

Het rapport merkt ook op dat de hackers probeerden bewijs van hun inbraak te maskeren op weg naar buiten, en adviseert de beoogde bedrijven om voorzorgsmaatregelen te nemen voor het geval er kwaadaardige code achterblijft.

Weten we zeker dat het Rusland was en wat het doel was?

Het DHS en de FBI karakteriseren het als een Russische aanval en merken op dat dit een meerjarige campagne was die in maart 2016 werd gestart door cyberactoren van de Russische overheid.

Een oktober 2017 verslag van de aanval , gepubliceerd door Symantec en geciteerd in het overheidsrapport, merkt op dat sommige codestrings in de malware in het Russisch waren. Sommige waren echter ook in het Frans, wat aangeeft dat een van deze talen een valse vlag kan zijn.

Toen het Amerikaanse ministerie van Financiën het uitgaf nieuwe sancties tegen verschillende Russische individuen en organisaties op 15 maart, noemde het deze cyberaanvallen als een van de redenen om dit te doen. Het ministerie van Financiën uitspraak met name namen en sancties van personen die betrokken zijn bij Ruslands Internet Research Agency en de GRU, de Russische militaire inlichtingendienst, hoewel het weigert om een ​​van de genoemde personen specifiek aan deze laatste hackcampagne te koppelen.

Voormalige inlichtingenfunctionarissen en analisten geïnterviewd door de codeerbrief met betrekking tot het rapport kwamen ze allemaal tot een vergelijkbare conclusie: de inbraak lijkt op een verkenningsmissie, die ons veel vertelt over wat voor soort informatie is verzameld, en niet veel over wat Rusland van plan is met al die informatie te doen.

Chris Inglis, voormalig adjunct-directeur van de National Security Agency, zei: het meest beknopt : [Dit] is geen opportunistische inval van de kant van de Russen. Ze lijken erop uit te zijn om in de kritieke infrastructuur te komen; ze kwamen er niet alleen omdat ze een shotgun-aanpak hebben gekozen.

Wat Rusland van plan is te doen eenmaal binnen die kritieke infrastructuur, dat is veel moeilijker te zeggen.

Wat kunnen de Verenigde Staten doen?

Het DHS-FBI-rapport bevat suggesties, zoals specifieke code die bedrijven kunnen gebruiken om een ​​aantal problemen uit te roeien en stapsgewijze richtlijnen voor het vinden en elimineren van malware.

Daarnaast is er een lijst met tips voor cyberbeveiliging en gezond verstand, zoals het instellen van limieten voor de functies waartoe een gewone gebruiker toegang heeft op een computer, terwijl andere functies worden overgelaten aan het beveiligen van beheerdersaccounts. Dat zou de schade minimaliseren die een indringer zou kunnen doen door een normale gebruiker in gevaar te brengen.

Het rapport bevat ook tips zoals Stel een wachtwoordbeleid op om complexe wachtwoorden voor alle gebruikers te vereisen. (Precies wat iedereen wil: weer zo'n complex wachtwoord met letters, cijfers en symbolen die je elke maand moet veranderen.) Hoe vervelend ze ook zijn, er is een reden waarom complexe wachtwoorden zo vaak worden aanbevolen na cyberaanvallen: niet iedereen gebruikt ze nog steeds, en door je wachtwoord in te stellen als wachtwoord kunnen aanvallers nog steeds de voordeur binnenkomen.

Om zich in de toekomst tegen dergelijke aanvallen te beschermen, raadt Gourley, de oprichter en chief technology officer van Crucial Point, bedrijven aan om multifactor-authenticatie toe te passen om de schade van gestolen logins en wachtwoorden te beperken. Dat betekent dat in plaats van alleen een wachtwoord te gebruiken om in een systeem te komen, een gebruiker ook een extra code moet invoeren die hij via sms ontvangt of een ID-kaart in een kaartlezer moet steken die op de computer is aangesloten.

Elke extra manier om te verifiëren dat een gebruiker is wie hij zegt dat hij is, maakt het moeilijker voor een aanvaller om alle vereiste inloggegevens te repliceren en in te loggen op het netwerk.

hoeveel democraten woonden de inauguratie van Trump bij?

Welkom in het nieuwe tijdperk van cyberoorlog

Het grootste probleem is dat landen over de hele wereld leren snel hoeveel vitale of zelfs lucratieve informatie ze kunnen verkrijgen door hacken, en bedenken voortdurend nieuwe manieren om beveiligingsmaatregelen die ze tegenkomen te omzeilen.

Het bestraffen van ambtenaren die betrokken zijn bij het toestaan ​​van aanslagen bestraft de betrokkenen zeker. Maar het is vermeldenswaard dat meer dan een derde van de personen die in deze laatste sancties worden genoemd, had al gesanctioneerd door de VS – en dat weerhield hen er blijkbaar niet van om deze nieuwe aanvallen uit te voeren. Wat betekent dat het afschrikkende of vergeldende effect van sancties alleen misschien niet zo groot is als misschien gewenst is.

Maar cyberaanvallen zoals deze vallen in het grijze gebied tussen netwerkbeveiliging, spionage en misdaad, waardoor het moeilijker wordt om erachter te komen hoe te reageren op een manier die echt een verschil maakt. Intrusies als deze schieten nog steeds tekort bij sabotage of oorlog, maar dat betekent niet dat we ze leuk moeten vinden.

Kelsey Atherton is een journalist op het gebied van defensietechnologie, gevestigd in Albuquerque, New Mexico. Vind hem op Twitter @athertonkd .