Angrep på vannverk i Florida

Vannverket i Oldsmar, Florida ble rammet av et opportunistisk angrep fra en ukjent trusselaktør 5. februar. Dette kunne fått store konsekvenser, men ble begrenset av en kombinasjon av operatørreaksjon, sikkerhetstiltak og flaks. Tilsvarende angrep vil kunne ramme norske virksomheter.

Publisert: 02.03.2021

I etterkant av denne hendelsen har KraftCERT, Norsk Vann og Kommune-CSIRT diskutert og vurdert omstendighetene rundt angrepet og i hvilken grad et tilsvarende angrep kan ramme norske virksomheter. Vi ønsker med dette å dele våre observasjoner, vurderinger og læringsmomenter med norske kommuner, vannverk og andre berørte parter.


Hendelsesforløp

Fredag 5. februar 2021 observerte en operatør i Oldsmar vannverk at muspekeren i SCADA-systemet beveget seg. Dette i seg selv var ikke unormalt – det hendte at fjernstyring av systemene var nødvendig.

Da fjernbrukeren justerte innblandingsforholdet av NaOH fra 100ppm til 11100ppm, reagerte operatøren raskt, siden dette er en justering langt utenfor normale parametere, og fikk stoppet videre manipulering av systemet, samt justert blandingsforholdet tilbake til normalt.


Observasjoner

  • Bruk av fjerntilgang (som for eksempel Teamviewer/RDP/VNC). Både at det var åpent kontinuerlig, og at det ga full skrivetilgang til SCADA-systemet for eksterne brukere.
  • Bilde av brukergrensesnittet ble brukt i markedsføringssammenheng av leverandøren av SCADA-systemet1.
  • Det er ikke kjent hvordan inntrengeren fikk tilgang til systemet, men rapporter(2) sier at det var bruk av felles passord i anlegget. I tillegg ble flere sett med brukernavn/passord fra Oldsmar vannverk observert i en svært stor passordlekkasje kjent som COMB3.
  • Bruk av Windows 7 er en observert svakhet, men antas å ikke være medvirkende til problemene i denne saken.


Skadebegrensende omstendigheter

  • Operatør som var pålogget, og observerte og reagerte på endringene som ble gjort.
  • Det er fysiske begrensninger i systemene som gjør det lite sannsynlig at det er MULIG å øke NaOH med 100x.
  • Vannverket opplyser at de har andre sikringssystemer (overvåkning av PH, bl.a.) som ville alarmert i god tid før angrepet hadde skapt et alvorlig problem.
  • Tregheter i prosessen. Om angriper skulle lykkes i å utføre endringene, ville det ta 24-36 timer før vannet blir distribuert, noe som gir god tid til å reagere på alarmer.


Vurdering

KraftCERTs vurdering er at det er sannsynlig at dette angrepet var opportunistisk – altså drevet av muligheten angriperen hadde til å logge seg inn i dette systemet. Det er også lite sannsynlig at det var en avansert trusselaktør som stod bak angrepet. Denne vurderingen understøttes av manglende bruk av avansert verktøy, justering til målverdier som åpenbart er feil samt manglende forsøk på å skjule spor.

KraftCERT er ikke kjent med at hverken myndigheter, sikkerhetsselskaper eller andre relevante aktører har vurderinger som går mot dette.

Publiseringen av skjermbildet til kontrollsystemet gjør det ikke enklere å komme seg til systemet, men kan både ha gitt en angriper lyst til å angripe dette systemet, og også mulighet til å forberede angrepet ved å gjøre seg kjent med systemet.

Tilsvarende sikkerhetsmangler vet vi at også finnes i Norge. Om ikke disse håndteres vil tilsvarende angrep sannsynligvis gjennomføres mot norske virksomheter.

Kommune-CSIRT deler KraftCERT sine vurderinger.


Læringsmomenter og tiltak

  • Sikkerhetssystemer, inkludert fysiske barrierer, er viktige elementer for å sikre at slike hendelser får minst mulig konsekvens.
  • Fjerntilgang er nyttig og nødvendig, men må sikres tilstrekkelig, kun være tilgjengelig ved behov, og kun for autorisert personell. Tiltak: Gjennomgå alle fjerntilgangspunkter og hvem som kan benytte disse. Rydd opp, fjern de som ikke skal brukes og slett gamle kontoer. Foreta passordbytte hvis nødvendig.
  • Passordsikkerhet er viktig. 2-faktorautentisering(2FA) bør være et krav, særlig på eksternt eksponerte tjenester.
  • Operatører og ansvarlige må forstå og kunne styre IKT-sikkerhet. Hvis ikke de har det, må det bygges opp gjennom opplæring og trening.
  • Kravstilling til leverandører, og praktisk gjennomføring av sikringstiltak må gis høy prioritet.


Organisasjoner som kan bistå

  • KraftCERT/InfraCERThåndterer digitale sikkerhetshendelser i sektorer med industrielle kontrollsystemer, og bidrar med oppdateringer om relevante sårbarheter og trusler for at selskapene skal være i stand til å oppdage og motvirke digitale angrep.
  • Kommune-CSIRT(5) støtter kommuner og fylkeskommuner med relevant informasjon om trusler, hendelser og sårbarheter i det digitale domenet, samt gir råd og støtte ved hendelser.
  • Den nasjonale interresseorganisasjonen Norsk Vann(6) har skrevet veiledere om sikkerhet i vann- og avløp – særlig «195 – Sikkerhet og sårbarhet i driftskontrollsystemer for VA-anlegg»7 er relevant i denne sammenhengen.


Kommentar fra Kommune-CSIRT

Kommune-CSIRT sendte dette varselet til samtlige kommuner i Norge torsdag 25. februar. Kommune-CSIRT påpekte på det tidspunkt at det også var en pågående sikkerhetshendelse hos en norsk kommune hvor deler av vannverket var rammet. Sistnevnte hendelse var ikke av samme type som den i Florida, men hendelsene til sammen viser at kritisk infrastruktur er utsatt og at sikkerheten bør gjennomgås.


Kilder:

1 Siden er tatt ned av leverandøren, her er siden slik den så ut fram til angrepet: http://web.archive.org/web/20201027141650/ https://www.mckimcreed.com/portfolio-page/plant-automation-yields-immediate-roi/

2 https://www.mass.gov/service-details/cybersecurity-advisory-for-public-water-suppliers

3 https://cybernews.com/news/oldsmar-florida-water-facility-credentials-contained-in-comb-data-leak/ 1 Etterretningsnotat KCAV2021-04055 : 2021-02-24 TLP:HVIT

4https://www.kraftcert.no/

5https://kommunecsirt.no/

6https://www.norskvann.no/index.php 7https://www.norskvann.no/index.php?option=com_hikashop&ctrl=product&task=show&cid=418&name= r195-veiledning-for-sikkerhet-av-driftskontrollsystemer-for-va-systemer&Itemid=1011&category_pathway