Cybersecurity

Hackers dwingen groot concern op de knieën

by Paul17 oktober 2016

In een klein zaaltje zit een tiental mensen gebiologeerd naar twee schermen te kijken. Zij zien in ‘real time’ hoe een gerichte massale aanval op de systemen, de netwerkinfrastructuur en de connected productiesystemen van de Duitse multinational Hardtmann Engineering Group het concern volledig lam legt. De Chief Executive Officer en Chief Financial Officer van de onderneming zijn eveneens aanwezig en doen verwoede pogingen om de almaar ernstiger wordende problemen de baas te worden. Een ooggetuigenverslag.

Hardtmann Engineering Group is niet zomaar een bedrijf. Het van origine Duitse concern ontwikkelt en verkoopt industriële oplossingen waarmee het mogelijk om met grote precisie op machinale wijze producten te vervaardigen. Met een omzet van  ruim zes miljard dollar in 2013, meer dan 14.000 werknemers en vestigingen in 25 landen mag het zich inmiddels marktleider in zijn marktsegment noemen.

Bij het concern heeft ICT zich in de loop der jaren ontwikkeld van een ondersteunende factor voor de kantooromgeving en de fabricage-installaties tot een van de primaire bedrijfsprocessen. Zonder ICT is er geen facturatie, geen communicatie met klanten en prospects, geen productie, geen ontwikkeling en ook geen ‘new business initiatieven’. Bij dat laatste is ICT zelfs een onontvreemdbaar onderdeel van de verkochte dienstverlening. En juist de ICT van Hardtmann Engineering ligt nu hevig onder vuur. Zelfs zodanig dat het concern volledig tot stilstand is gekomen. Met alle desastreuze gevolgen van dien. De CEO en de CFO mogen zich met alle recht zorgen maken over hun baanzekerheid.

Bericht van Anonymous

Even terug in de tijd: ruim vier uur geleden startte de crisis. Er kwam een mailbericht binnen bij het secretariaat van de CEO van Hardtmann Engineering. Een mail met een grimmig klinkend bericht en een evenzeer grimmig ogende videoboodschap. De afzender: johndoe716162@yahoo.com, oftewel de activistische hackergroep Anonymous. “Hardtmann Engineering moet stoppen met de wereldwijde uitbuiting van arbeiders en de vervuiling van het milieu. Wij geven jullie vier uur om een persbericht te publiceren waarin dit wordt toegegeven. Ook moeten jullie bekendmaken dat Hardtmann Engineering korte metten maakt met die uitbuiting. En ten slotte eisen wij dat jullie een bedrag van één miljoen euro overmaken aan Amnesty International. Als Hardtmann Engineering niet aan onze eisen voldoet, zijn de consequenties voor het bedrijf niet te overzien.”

De reputatie en staat van dienst van Anonymous is dusdanig dat het bericht nagenoeg direct wordt doorgegeven aan de CEO zelf. Die onderkent het potentiële gevaar en roept het crisisteam (onder andere bestaande uit de CIO, de Chief Legal Officer, de Chief Security Officer, de Risk Manager, de Compliance manager en de directeur Communicatie) bij elkaar. Hij neemt samen met de CFO de leiding over het team. Het duo gaat slagvaardig van start: eerst moeten alle systemen op kwetsbaarheden worden gecheckt. Zowel de servers in de acht datacenters die het concern wereldwijd heeft staan, als alle werkplek-pc’s en de SCADA-productiesystemen die in de verschillende fabrieken in gebruik zijn. Een omvangrijke klus, maar wel één die de absolute prioriteit heeft. Het team besluit om vooralsnog geen bericht aan de media te sturen over de mogelijke cyberaanval. Ook wordt voorlopig geen contact opgenomen met de politie over de dreiging.

Mailtje met checklist

Het crisisteam is in ‘full swing’. Er komt een mailtje van de Compliance Manager. Of de CEO een bijgevoegde checklijst wil invullen, zodat er aantoonbaar kan worden gemaakt dat de juiste procedures worden gevolgd. Het document wordt geopend, maar niet ingevuld: er zijn namelijk weer andere ontwikkelingen die ondertussen de onverdeelde aandacht opeisen. De netwerkverbindingen dreigen namelijk overbelast te raken door massale DDoS-aanvallen die uit alle hoeken van de wereld lijken te komen. Ook begint één van de datacenters in snel tempo ‘in het rood’ te komen. Er blijkt niet alleen inkomend verkeer te zijn, maar ook ziet de ICT-afdeling dat een ongehoorde hoeveelheid versleutelde data van de bedrijfsservers naar buiten gaat. Er wordt gevreesd dat het gaat om zaken als patentinformatie en financiële gegevens. Tussendoor komt er nog een telefoontje van de echtgenote van de CEO: de thuis-pc doet raar. Of hij één van zijn ICT’ers kan sturen? Zichtbaar geïrriteerd laat de topman weten dat hij ‘nu wel iets anders aan zijn hoofd heeft’.

Kiezen uit twee opties

Wij zijn twee uur verder. De temperatuur in het crisiscentrum loopt op. De gezichten van de CEO en CFO worden roder en roder. Het ene na de andere datacenter gaat uit de lucht. Het haperen van de datacenters heeft inmiddels ook consequenties voor bepaalde klanten van Hardtmann Engineering. Een van de grootste klanten, R77 Labs, meldt zich met de mededeling dat hun datacenters problemen ondervinden en dat de oorzaak te traceren is naar de systemen van Hardtmann. De CEO en CFO besluiten hun klant vooralsnog met een kluitje in het riet te sturen met de mededeling dat het ‘slechts een vervelende bijkomstigheid van een systeemupgrade’ is. “Niets ernstigs dus.”

De CIO van Hardtmann heeft ondertussen niet stilgezeten. Hij presenteert de CEO en de CFO twee opties: het direct uitzetten of het gecontroleerd uitzetten van de gehele ICT-infrastructuur. In beide gevallen wordt de ‘down time’ worden gebruikt om de gehele infrastructuur na te lopen en waar nodig te updaten of ‘besmettingsvrij’ te maken.

De eerste optie is het snelste in de uitvoering. Nadeel is echter dat het circa 24 uur duurt voordat alle zaken weer op gang zijn. Optie twee kost een uurtje of twee, maar het voordeel is echter dat de boel na circa vier uur weer ‘up & running’ is. Na lang overleg en gedraal wordt er gekozen voor optie twee. En passant keuren de CEO en CFO nog wel goed dat de ICT-afdeling zelf een aanval onderneemt op een server in China met het IP-adres 42.122.13.89. Dit lijkt namelijk een van de aanstuurpunten voor de massale aanval op Hardtmann te zijn. Het is feitelijk een illegale activiteit, maar het bestuursduo maakt zich daar nu geen zorgen over. Wie dan leeft, die dan zorgt.

Juridische nachtmerrie

De gebeurtenissen komen ondertussen in een nog heviger tempo op het crisisteam van Hardtmann Engineering Group af. Allereerst blijkt nu dat het mailtje van de Compliance manager een vervalst bericht was. Het bijgesloten document bevatte een Trojaans Paard dat allerlei gevoelige informatie uit de beveiligde systemen van de Raad van Bestuur heeft opgehaald en naar een onbekende bestemming buiten het bedrijf heeft gestuurd. Daarnaast meldt een toeleverancier, een bedrijf dat papieren documenten digitaliseert, dat zijn systemen zijn gehacked waardoor er documenten zoals de declaraties van Hardtmann’s Raad van Bestuur zijn ontvreemd.

Ook blijken de SCADA-productiesystemen te zijn aangetast. Naar blijkt, zijn de hackers al een maand of drie geleden binnengedrongen. Zij hebben hun pijlen met succes gericht op de geautomatiseerde kwaliteitsbewakingssystemen: feitelijk is de gehele productie van het afgelopen kwartaal ondeugdelijk. Helaas hebben de gemaakte apparaten inmiddels hun weg gevonden naar de klantenkring die er weer eindproducten van maakt: van vliegtuigmotoren tot hartbewakingssystemen en tanks. Er is een levensgrote kans dat al die apparaten en systemen hierdoor uiteindelijk mankementen gaan vertonen. Het is een juridische nachtmerrie, erkent de Chief Legal Officer. Hij ziet in gedachten al de claims en rechtszaken van klanten in groten getale op zich afkomen.

En nu komt ook het bericht binnen dat het Twitter-account van Hardtmann Engineering, met ruim 2,8 miljoen volgers, naar alle waarschijnlijkheid door Anonymous is gekraakt. Er is door hen een tweet de wereld in gestuurd waarin wordt gerept over de overname van branchegenoot Pretoria Engineering. Het bericht berust niet op waarheid: niemand binnen de Raad van Bestuur kent het bewuste bedrijf, laat staan dat er gesprekken mee zijn gevoerd. De pers heeft de tweet echter wel opgemerkt en publiceert er over. Het crisisteam besluit geen poging te ondernemen om het Twitter-account weer ‘terug te hacken’. Er zijn andere problemen die een hogere prioriteit hebben.

Geen communicatie mogelijk

Ook verschijnen er berichten in de media over de kennelijke ICT-problemen waarmee Hardtmann Engineering te kampen heeft. Omdat er een radiostilte heerste bij het concern, zijn journalisten zelf maar aan de slag gegaan met eigen veronderstellingen. In de meeste berichten wordt gesproken over problemen waardoor Hardtmann Engineering ‘maandenlang zo niet een heel jaar niet zal kunnen produceren’. De beurskoers van het aandeel Hardtmann duikt met ruim 24 procent, terwijl de koers van Pretoria juist met tientallen procenten stijgt. De CEO en CFO geven hun Communicatie directeur het bevel om nu toch maar contact op te laten nemen met diverse media en persberichten de wereld in te sturen. Helaas zijn de ICT-systemen en de netwerkinfrastructuur nog steeds ‘down’, waardoor er niet kan worden gemaild. Tevens is het niet mogelijk om te bellen, aangezien het gehele concern een jaartje geleden over is geschakeld op Voice over IP. Ook de smartphones van de circa 2.000 personeelsleden in het hoofdkantoor bieden weinig tot geen soelaas: omdat iedereen bijna tegelijkertijd gebruik wil maken van het mobiele netwerk, ligt ook dat grotendeels ‘plat’.

Kinderporno

De ellende blijkt echter nog niet op zijn hoogtepunt te zijn aangekomen. De CEO merkt nu op dat er een paar uur geleden een nieuw mailbericht van Anonymous binnen was gekomen. Hierin vraagt de hackersgroep om 100.000 dollar in ruil voor informatie over de belangrijkste kwetsbaarheid in de systemen van Hardtmann Engineering. Ook wordt tegelijkertijd de bewuste kwetsbaarheid en de ‘exploit’ daarvan tegen betaling aangeboden op een ondergrondse hackerwebsite. Er wordt besloten om op anonieme basis de gewraakte informatie te kopen. Weliswaar is ook dit niet helemaal legaal te noemen, maar ook hier weer: wie dan leeft, die dan zorgt.

Weliswaar hadden de twee directieleden nog niet besloten om de politie in te lichten over de cyberaanval, maar dat blijkt ook niet meer nodig. De politie dient zich zelf aan. Zij het met een ander doel: zij hebben een anonieme tip gekregen (met illustratief bewijsmateriaal) dat de CIO van Hardtmann Engineering kinderporno distribueert. Het bewijs daarvoor zou op zijn werkstation te vinden zijn. Zij willen de man meenemen voor ondervraging en eisen de nodige data op. Het lijkt duidelijk te zijn dat het crisisteam voorlopig zonder hulp van de CIO moet door gaan.

Game over?

De CEO komt nu ook zelf onder vuur te liggen. Een gezaghebbende mediawebsite meldt dat zij een anonieme tip (met bewijsmateriaal) binnen hebben gekregen waaruit blijkt dat de hoogste baas van Hardtmann Engineering zich schuldig heeft gemaakt aan beurskoersmanipulatie en handelen met voorkennis. Hij zou nog voor de tweet over de acquisitie van Pretoria Engineering aandelen hebben gekocht in het bewuste bedrijfje. Na de tweet zijn de aandelen weer van de hand gedaan. Hiermee heeft hij een winst van 78.675 euro weten te scoren. De anonieme tipgever heeft belastende informatie, afkomstig van de beurshandelsoftware op de thuis-pc van de CEO, naar de media gestuurd. De politie staat inmiddels ook te popelen om de CEO mee te nemen voor verhoor. De ellende is compleet. Het crisisteam weet even niet hoe te handelen.

“Reëel gevaar”

Het licht gaat aan in het zaaltje. De ‘CEO’ en ‘CFO’ van Hardtmann Engineering Group halen opgelucht adem. Zij namen deel aan een simulatie waarin een grootschalige cyberaanval werd nagebootst. In het dagelijkse leven is de CEO de hoogste ICT-baas van een Europese organisatie en werkt de CFO als Security manager bij een groot internationaal concern. Op uitnodiging van ICT-dienstverlener T-Systems hebben zij deelgenomen aan de simulatie, onder leiding van professor Dr. Marco Gercke, directeur van het toonaangevende Cybercrime Research Institute. Volgens Gercke is er bij een grootschalige aanval op meerdere fronten, zoals die op Hardtmann Engineering, geen allesomvattende oplossing. Wel kunnen organisaties zich er tegen wapenen door van te voren na te denken over de mogelijke implicaties van een dergelijke aanval en de noodzakelijke crisisplannen te formuleren, al dan niet in samenwerking met gespecialiseerde partijen uit de ICT-sector.

Volgens Cybercrime-specialist Gercke is de nagebootste cyberaanval geen sciencefiction. “Het is een reëel gevaar waar organisaties rekening mee moeten houden. Het kan vandaag de dag zonder al teveel problemen door een goed georganiseerde groep hackers worden uitgevoerd. In de praktijk komen wij dit al in beperktere mate tegen bij organisaties. Inclusief het betalen van ‘losgeld’ om de bedrijfssystemen weer aan de gang te krijgen. En dat is het laatste dat je zou moeten willen.”

Cybercrime Research Institute

Het in 2007 opgerichte Cybercrime Research Institute is een onafhankelijke organisatie die, vanuit het hoofdkantoor in het Duitse Keulen, onderzoek doet naar en publiceert over cybercriminaliteit. Onderdeel van de activiteiten van het CRI is het adviseren van diverse organisaties en overheden als het gaat om cybercrime-gerelateerde wetgeving. Zo heeft het onder andere United Nations Office on Drugs and Crime en de Europese Commissie al van raad voorzien. Samen met ICT-dienstverlener T-Systems is het Cybercrime Research Institute ook actief op het gebied van Executive Consulting; het adviseren (onder andere met simulaties) en engageren van directies van ondernemingen in de profit- en non-profitsectoren.