Syrische hackers kapen toevoerkleppen waterbedrijf

Gammele beveiliging heeft geleid tot computerinbraken bij een onbekend waterleidingsbedrijf. De hackers kwamen binnen via het elektronische klantenloket. Het bedrijf dat de incidenten aan het licht bracht is zelf slachtoffer geworden van een cyberaanval waarbij klantgegevens zijn gestolen.

Beeld anp

Van de Amerikaanse komiek W.C. Field is de beroemde uitspraak waarom hij nooit water drinkt: 'Fish fuck in it'. Klanten van een waterleidingsbedrijf hebben nog een reden om hun kranen te wantrouwen: misschien hebben hackers wel de waterzuiveringsinstallatie wel verneukt.

Dat is in elk geval twee keer gebeurd bij de Kemuri Water Company, zo blijkt uit het jongste rapport van de beveiligingstak van het Amerikaanse telecombedrijf Verizon.

KWC is een fictieve naam: zelfs het land waarin het bedrijf is gevestigd is niet bekend. Kemuri is Japans voor 'rook' en de naam van een Japans-Amerikaanse ska-punk-band. De opstellers van het Verizon-rapport maken een toespeling op Smoke on the Water, de legendarische song van de hardrockband Deep Purple uit 1972.

Verizon kan alleen over incidenten bij zijn klanten rapporteren als het niets vrijgeeft over de herkomst van die bedrijven. Zijn onderzoekers kwamen de incidenten bij KWC op het spoor toen het bedrijf werd gevraagd eens te kijken naar kwetsbaarheden in de beveiliging van een waterzuiveringsinstallatie.

De Amerikaanse komiek W.C. Fields: "I don't drink water. Fish fuck in it." Beeld Wikimedia

Gladde praatjes

Die bleken er inderdaad te zijn. De website waarop klanten van KWC voor de levering van water kunnen betalen bleek bekende weeffouten te hebben. Dat alleen had niet fataal hoeven uitpakken, maar de server waarop de website stond bleek verbonden met de industriële systemen die de apparatuur aansturen waarmee het water wordt gezuiverd.

Door de website te hacken en via wat social engineering (Engels voor gladde praatjes) kregen de hackers toegang tot onder meer de toevoerkleppen voor de chemicaliënmix die het water ontdoet van schadelijke elementen. Daarmee konden ze de drinkwatervoorziening voor zo'n 2,5 miljoen klanten saboteren.

Zover kwam het niet: de automatische systemen sloegen alarm toen de hackers met hun tengels aan de regelkleppen zaten.

Volgens Verizon opereerden de hackers vanuit Syrië.

Israël

Het is niet de eerste keer dat cyberaanvallen vanuit Syrië op industriële systemen aan het licht komen.In 2013 meldden de Israëlische autoriteiten dat leden van het Syrische Elektronische Leger, een groep hackers die het bewind van president Bashar al-Assad steunen, hadden geprobeerd de drinkwatervoorziening te saboteren van Haifa, de op twee na grootste stad in Israël met meer dan een kwart miljoen inwoners, plus meer dan anderhalf miljoen in de omringende regio.

In februari maakte de Amerikaanse regering bekend dat hackers van de terroristische beweging Islamitische Staat de digitale middelen hebben om de kritieke infrastructuur van de VS te saboteren, vooral omdat er weinig voor nodig zou zijn om de computers van drinkwaterbedrijven, energiebedrijven maar ook kerncentrales plat te leggen.

Niet alleen tegenstanders in Syrië hebben het gemunt op de VS. Juist vandaag werd bekend dat de Amerikaanse justitie zeven Iraanse hackers hebben aangeklaagd wegens cyberaanvallen op 46 financiële organisaties en een dam, Bowman Avenue Dam, op ongeveer 30 kilometer van New York. De aanklager zegt dat de zeven voor Iraanse bedrijven werken die banden hebben met de Iraanse regering.

In de aanval op de Bowman Avenue Dam hadden de hackers het stadje Rye blank kunnen zetten, ware het niet dat de controlesystemen offline waren omdat er net onderhoud werd gepleegd.

Doelwit van Iraanse hackers: een schuif in de Bowman Avenue Dam. Beeld ap

Datadiefstal

Overigens moest Verizon donderdag toegeven dat hackers waren doorgedrongen tot de systemen waarop het telecombedrijf zijn klantgegevens beheert.

De inbrekers zeggen gegevens van anderhalf miljoen zakelijke klanten te hebben gestolen, die ze voor 100 duizend dollar willen verkopen.

Verizon zegt dat de hackers geen gevoelige informatie over het netwerkverkeer van zijn klanten hebben weten te stelen, maar wel hun naam en adresgegevens.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden