Aanvallen op de toeleveringsketen in de echte wereld: De Cyberkloof overbruggen

Elk bedrijf in de B2B-ruimte maakt deel uit van een toeleveringsketen, of u nu levert aan grotere bedrijven of dat die grotere bedrijven aan u leveren. Als u als kleiner bedrijf aan grotere bedrijven levert, bent u gevoeliger voor aanvallen dan sommigen in uw organisatie misschien denken.

In een vorige editie van Bridging the Cyber Divide hebben we gekeken naar aanvallen op de toeleveringsketen, hoe ze kunnen plaatsvinden, waarom ze zo vaak voorkomen en naar een aantal opvallende voorbeelden van dergelijke aanvallen.

Deze keer willen we nog dieper ingaan op een onthutsend rapport van januari van de Wall Street Journal over gecoördineerde, gerichte aanvallen die erop gericht zijn het elektriciteitsnet van de VS plat te leggen en die waarschijnlijk door Russische dreigingsactoren worden uitgevoerd.

Deze hackers gingen niet recht op de bron af: ze probeerden binnen te sluipen via kleine bedrijven - aannemers, onderaannemers, zelfs bedrijven die niet rechtstreeks met de nutsbedrijven werkten, maar wel een band met de sector hadden. WSJ meldde dat ten minste twee dozijn in de VS gevestigde nutsbedrijven werden gekraakt.

Dit zou de mensen in uw organisatie die denken dat het de kosten niet waard is om cyberbeveiligingsoplossingen bovenop uw bestaande IT-infrastructuur te brengen, eens flink wakker moeten schudden. Dit bewijst dat iedereen - hoe groot of klein ook - een doelwit kan zijn in een grotere cyberaanval.

Niemand is een "niemand" bij aanvallen op de toeleveringsketen

De eerste anekdote over aanvallen op de toeleveringsketen die in het WSJ-artikel is opgenomen, betrof een bouwbedrijf uit Oregon met 15 werknemers. Klanten ontvingen in maart 2017 een e-mail die beweerde van het bedrijf te zijn en waarin hen werd gevraagd een overeenkomst te ondertekenen, maar er zat geen bijlage bij. De eigenaar van het bedrijf, Mike Vitello had "geen idee" waar ze het over hadden en vertelde de ontvangers om het te negeren.

Later namen de dingen een alarmerende wending.

Een paar maanden later stuurde het Amerikaanse ministerie van Binnenlandse Veiligheid een team om de computers van het bedrijf te onderzoeken. Je bent aangevallen, zei een overheidsagent tegen Mr Vitello's collega, Dawn Cox. Misschien door Russen. Ze probeerden in te breken in het elektriciteitsnet.

"Ze onderschepten elke email van mij," zegt Mr. Vitello. "Wat krijgen we nou? Ik ben niemand."

"Het ligt niet aan jou. Het is wie je kent," zegt Ms. Cox.

Het bedrijf werkte met nutsbedrijven en overheidsinstanties en werd door buitenlandse dreigingsactoren gezien als een manier om het Amerikaanse elektriciteitsnet binnen te dringen. Zij hackten de e-mail van Vitello en stuurden klanten een link naar een weinig gebruikte website die door deze actoren was gekaapt en die waarschijnlijk werd gebruikt als achterdeur om toegang te krijgen tot de systemen van de ontvanger.

Aanvallers in de toeleveringsketen gebruikten Vitello's e-mail opnieuw om twee weken later frauduleuze briefjes te versturen. Toen een van de ontvangers reageerde door te zeggen dat hij dacht dat Vitello gehackt was, kreeg hij een antwoord terug van Vitello's account waarin stond dat hij het bericht had verstuurd. Die persoon belde Vitello vervolgens op om het nog eens te controleren en Vitello bevestigde dat hij niets had verstuurd.

Uit deze anekdote kunnen veel lessen worden getrokken. Ten eerste is het niet verrassend dat de eigenaar van een klein bouwbedrijf niet zou denken dat hij het doelwit zou worden van cyberaanvallen. Maar niemand is echt een "niemand". En voor niet-technische mensen in uw organisatie zou dit bewijsstuk A moeten zijn waarom ze anders moeten gaan denken over de waarschijnlijkheid dat ze een doelwit voor cyberaanvallen zijn.

Wanneer zij zeggen: "Dat kan ons niet overkomen", kunt u hen zeggen dat het een 15-koppig bedrijf wel is overkomen, niet om wie zij waren, maar om wat zij deden en wie zij kenden.

Ook de reactie van een van de ontvangers van de tweede verdachte e-mail is een goed voorbeeld van cybersecurity awareness training at work, die we in december in deze serie hebben besproken. Als een e-mail er verdacht uitziet of niet juist is, is het altijd een best practice om de e-mail te verwijderen als je de afzender niet kent of, als het lijkt alsof hij van iemand komt die je wel kent en ze iets van je vragen, om de telefoon te pakken en te bevestigen dat hij de e-mail daadwerkelijk heeft verzonden.

Aanvallen op de toeleveringsketen in alle vormen en maten

Het rapport van de WSJ onthulde details over talrijke slachtoffers van deze aanval/reeks aanvallen op de toeleveringsketen, met een scala van verschillende soorten bedrijven en tactieken.

Een klein mediabedrijf dat vakbladen voor de energie-industrie uitgeeft, is de plaats waar vermoed wordt dat Russische actoren een website hebben geïnfecteerd en gebruikt om bezoekers te bespioneren die zij konden aanvallen.

Bij een klein professioneel dienstverleningsbedrijf in Oregon is een werknemer naar verluidt in de bovengenoemde nep-e-mail getrapt, hebben aanvallers in de toeleveringsketen door hun firewall gebroken en een nep intern account met "brede administratieve toegang" aangemaakt en zijn van daaruit achter de energiebedrijven aangegaan.

Een klein timmerbedrijf in Michigan met 20 werknemers werd door de aanvallers geïnfiltreerd. Volgens WSJ ontvingen ten minste drie nutsbedrijven valse cv's van e-mailadressen die met het bedrijf in Michigan in verband werden gebracht. De cv's waren "zo aangepast dat de computers van de ontvangers inloggegevens naar gehackte servers stuurden", aldus WSJ.

Aanvallers in de toeleveringsketen gingen achter een ander graafbedrijf aan dat, nadat het was gehackt, een e-mail met een valse Dropbox-link stuurde naar 2300 contactpersonen, waaronder diverse grote nutsbedrijven.

Veel van deze aanvallen zijn klassieke e-mailaanvallen en vereisen geavanceerde technologische beveiligingen om de gevolgen van schadelijke URL's, bijlagen en websites tegen te houden. Zonder deze beveiliging kunt u de volgende anekdote zijn in het volgende grote verhaal over cyberaanvallen. U hebt een plan nodig om uzelf te beschermen en het is belangrijk dat iedereen meedoet.

Onthoud: niemand is een "niemand" als het gaat om de toeleveringsketen. Alles is met elkaar verbonden, alles is belangrijk en u wilt niet degene zijn die de keten verbreekt omdat uw cyberbeveiliging niet op orde is. Behandel uzelf niet als een "niemand": kies voor een proactieve, diepgaande aanpak van cyberbeveiliging, zodat u de cyberresilience hebt om de meest ernstige aanvallen te weerstaan.