Webaanval in Saoedi-Arabië was gericht op vernietiging

Mohammed bin Salman, de druistige nieuwe kroonprins van Saoedi-Arabië (afb: WikiMedia Commons)

In augustus vorig jaar werd een fabriekscomplex van een chemisch bedrijf in Saoedi-Arabië slachtoffer van een webaanval. Die was echter niet bedoeld om te spioneren om om gegevens te vernietigen, maar om de installaties onklaar te maken door een explosie te veroorzaken. Is de weboorlog een nieuwe fase ingegaan?
Tot nu toe is er weinig bekend geworden/gemaakt over de aanval. Onderzoekers willen zelfs de naam van het bedrijf niet vrijgeven. Het zou om een listige aanval gaan van e-krakers die over middelen leken te beschikken. Dan gaan de gedachten onmiddellijk weer uit naar notoire ‘schurkenlanden’ zoals Iran. De onderzoekers wilden alleen kwijt dat de aanvallers niet in hun opzet slaagden doordat er een fout stond in hun code. Het is wachten op een volgende, vrezen webveiligheidsdeskundigen.
De aanval was alarmerendste in de serie die petrochemische bedrijven in Saoedi-Arabië kreeg te verduren. In januari vorig jaar viel het computersysteem uit bij het petrochemische bedrijf Tasnee. De computers gingen ook plat bij de Saoedisch/Amerikaanse onderneming Sadara Chemical Company, zo’n 25 km verderop. Binnen een paar minuten waren de harde schijven gewist en vervangen door de inmiddels wereldberoemde foto van een verdronken Syrisch jongetje op een Turks strand. De boodschap was politiek en het heeft maanden geduurd om het computersysteem te herstellen.

Energiedeskundigen opperen dat de aanval in augustus was bedoeld om de plannen van kroonprins Mohammed bin Salman te dwarsbomen om meer buitenlands kapitaal aan te trekken. Er zijn al enige details over de webaanval in augustus vrijgegeven, maar het is voor het eerst dat ook de aanvallen op de twee andere installaties zijn bekendgemaakt.

Explosie

De aanval in augustus wordt onderzocht door Mandiant, onderdeel van het webbeveiligingsbedrijf FireEye met de hulp van verschillende andere Amerikaanse bedrijven. Een groep van Schneider Electric, dat de beveiliging van het productiesysteem heeft geleverd, houdt zich ook bezig met de zaak. Uiteraard zijn ook geheime diensten en opsporingsautoriteiten benieuwd naar hoe zo’n aanval heeft kunnen plaatsvinden.
Alle onderzoekers denken dat de aanvallers uit waren op een explosie. Wat ze het meeste dwars zit is dat de aanvallers kennelijk het Triconex-systeem van Schneider hebben weten te verschalken. Dat zorgt ervoor dat een proces veilig verloopt door het regelen van spanning, druk en temperatuur. Duizenden fabrieken, krachtcentrales en andere installaties gebruiken dat systeem ook. Triconex werd beschouwd als uiterst veilig.

Weboorlog

De vraag is natuurlijk hoe de aanvallers er in geslaagd zijn om binnen te komen? De onderzoekers vonden een vreemd bestand in een computer dat onderdeel leek uit te maken van de Schneiderprogrammatuur, maar was bedoeld om de boel te saboteren. Hoe dat daar gekomen is wilden de onderzoekers niet zeggen, maar ze denken niet dat dat van binnenuit is gekomen.
Het is alleen maar misgegeaan doordat er een fout zat in de code van de aanvallers, waardoor de fabriek ‘plat’ ging. Onderzoekers verwachten dat er binnen niet al te lange tijd een nieuwe aanval zal plaatsvinden, die dan wel succesvol zal zijn (vanuit het gezichtspunt van de aanvallers). Het lijkt er op dat er een nieuw hoofdstuk in de weboorlog is begonnen.
De onderzoekers denken dat een land verantwoordelijk is voor de aanval, omdat die geen ‘winstoogmerk’ heeft, alhoewel beschadiging van de installaties wel verlies voor het bedrijf zou opleveren. Ook de code die gebruikt werd was niet eerder vertoond. De digitale inbrekers moeten die zelf hebben geschreven. Daar komt bij dat de aanvallers niet alleen het systeem wisten binnen te dringen, maar ook het ontwerp van het productiesysteem goed kenden: welke pijp gaat waarheen en welke kleppen moet ik bedienen om een explosie te veroorzaken.

Landen als Iran, China, Rusland, Israël en de VS zouden dit soort aanvallen kunnen uitvoeren, maar de meeste hebben geen motieven om dat te doen. Eigenlijk blijft dan alleen Iran over. Dat land voert met Saoedi-Arabië een verbeten strijd over regionale overheersing, die is ingegeven door religieuze verschillen: Iran is sjiitisch en Saoedi-Arabië soennitisch. De aanvallen waren echter veel geavanceerder dan wat Iran de laatste tijd heeft laten zien (of althans, waarvan dat wordt aangenomen). Tasnee zegt ook deskundigen te hebben ingehuurd om de zaak uit te zoeken. Het bedrijf heeft heel zijn beveiligingssysteem opnieuw opgezet.In augustus vorig jaar is er geavanceerde webaanval gepleegd op een petrochemische fabriek in Saoedi-Arabië die tot doel zou hebben gehad een explosie te veroorzaken. De weboorlog lijkt zich te verharden.

Bron: New York Times

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *