Waterbedrijf gehackt: Chemicaliënmix gewijzigd

De onderzoekers claimen dat de hackers binnendrongen via de mogelijkheid die het waterbedrijf klanten biedt om online hun rekeningen te voldoen. Een niet-gepatchte webinterface bood toegang tot de achterliggende systemen. De hackers wisten met SQL-injectie en wat phishing zich toegang te verschaffen tot het achterliggende, verouderde IBM AS/400-gebaseerde controlesysteem van de zuiveringsinstallatie. De inlogmodule stond namelijk op de webserver die ook het betaalsysteem verzorgde.

Zo kregen ze toegang tot de Programmable Logic Controllers (PLC's) die in de zuiveringsinstallatie de kleppen bedienen voor onder meer de waterstromen, maar ook de toevoeging van chemicaliën voor het zuiveringsproces. De onderzoekers kwamen er achter dat een groot aantal van de kritieke IT en operationele technologie (OT)-functies vanaf een enkel AS/400-systeem werden geregeld.

2,5 miljoen klanten in gevaar

Het bleek dat de hackers niet veel verstand hadden van de bediening van de zogeheten SCADA-controlesystemen of ze hadden (nog niet) de behoefte veel onheil te veroorzaken. Kemuri Water Company levert water aan 2,5 miljoen klanten. De hackers slaagden er over een periode van 60 dagen in vier maal in te breken. Ze wisten twee maal een instelling van een klep te wijzigen, maar dat had geen grote gevolgen. Gelukkig sloeg het monitoringsysteem van KWC daarop alarm waarop de instellingen snel teruggezet konden worden. Het incident geeft wel aan hoe kwetsbaar deze cruciale nutsvoorzieningen zijn voor cyberaanvallen.