Dit is waarom onze LNG-terminals interessant zijn voor hackers
Hackers hebben in interesse in de systemen van Nederlandse LNG-terminals. Ze scannen de netwerken, proberen in te loggen in de systemen en kijken wie er werken, zeggen onderzoekers van cyberbeveiliger Dragos. Volgens de FBI en andere onderzoekers zijn de groepen gelieerd aan Rusland. Maar wie zijn die hackers en waarom is de Nederlandse vitale infrastructuur zo interessant? "Gas is het favorieten Russische wapen tegen de EU", zegt VVD- Europarlementariër Bart Groothuis.
Volgens het Amerikaanse cybersecuritybedrijf Dragos, gespecialiseerd in het beveiligen van industriële bedrijven, zijn er twee groepen hackers actief aan het rondneuzen bij de Nederlandse LNG-terminals.
Die groepen, Xenotime en Kamacite, hebben banden met Rusland, zeggen onder meer de FBI en andere cyberonderzoekers.
Ook Europarlementariër Groothuis kent de signalen van Russische hackersgroeperingen die de systemen van LNG-terminals onderzoeken. Hij roept op om de cyberveiligheid verhogen, voordat kwaadwillende hackers daadwerkelijk kunnen saboteren of op een andere manier overgaan tot de aanval.
"Gas is het favoriete Russische wapen tegen de EU. Het veroorzaken van chaos op de energiemarkt en het manipuleren van die markt is een duidelijke geopolitieke doelstelling."
Groothuis noemt het opblazen van de Nordstream-pijpleiding als voorbeeld van ontwrichtende sabotage. Er is vooralsnog geen sluitend bewijs dat naar Rusland erachter zit, maar experts wijzen wel die kant op. "Maar veel makkelijker, sneller en met vergelijkbare effecten is een aanval met cybermiddelen."
Waarom zijn LNG-terminals zo belangrijk?
LNG is voor Nederland belangrijk nu de Russische gaskraan dicht is gegaan door de oorlog in Oekraïne. Als die terminals om wat voor reden dan ook stil komen te liggen, valt er capaciteit van de gasproductie weg, zegt René Peters, directeur gastechnologie van TNO.
De capaciteit in Rotterdam wordt uitgebreid naar 16 miljard kuub per jaar. Terwijl Eemshaven nu 8 miljard kuub per jaar produceert. Samen zijn ze daarmee goed voor meer dan de helft van het Nederlandse gasverbruik van 40 miljard kuub gas per jaar.
"Als we die capaciteit voor korte tijd verliezen dan hebben we niet direct een probleem. Want we hebben nog 14 miljard kuub opgeslagen in bergingen en we hebben onze kleine velden nog."
Groothuis is voorstander van een programma om vitale infrastructuur beter te beschermen. "Door de IT-systemen van gasinstallaties weerbaarder te maken kun je veel ellende voorkomen. De overheid moet uit voorzorg extra zijn best doen en cyberexperts aanbieden om de boel op slot te zetten voor hackers", zegt Groothuis.
De onderzoekers van Dragos wijzen naar twee groepen die de Nederlandse LNG-terminals scannen. Een van de groepen is Xenotime. Deze groep hackers wordt door de Amerikaanse cyberveiligheidsdienst in verband gebracht met de Russische overheid. De groep wordt verantwoordelijk gehouden voor een aanval op een petrochemische fabriek in Saudi-Arabië in 2017.
Daar probeerden zij veiligheidssystemen uit te schakelen met behulp van hack-software, wat had kunnen leiden tot lekkages of zelfs levensgevaarlijke explosies.
Dat gebeurde niet doordat er fouten in de code van de malware zaten, maar de aanval kostte de eigenaar van de fabriek toch miljoenen dollars, omdat de fabriek dagenlang niet kon draaien.
Kamacite: spioneren en toegang krijgen
De andere groep wordt door de onderzoekers Kamacite genoemd. Deze groep probeert een beeld te krijgen van hoe bedrijven zijn georganiseerd, wie er werken en welke apparaten met internet verbonden zijn. Daarnaast proberen ze daadwerkelijk binnen te komen in de computersystemen en de netwerken. Ze proberen op grote schaal of ze kunnen inloggen op apparaten die met internet verbonden zijn.
Dat doen ze met gestolen of gelekte wachtwoorden van medewerkers, de meest gebruikte wachtwoorden, of door gebruik te maken van fouten in software die niet gedicht zijn. Zijn ze eenmaal binnen, dan delen ze die toegang met anderen zodat zij uiteindelijk kunnen toeslaan.
Op die manier waren zij eerder betrokken bij een aantal grote aanvallen op vitale infrastructuur. Zoals de twee digitale aanvallen waardoor een deel van de Oekraïense hoofdstad Kiev in 2015 en 2016 zonder stroom kwam te zitten.
Gespecialiseerd in saboteren
De hackers van Xenotime hebben onderzoek en verkenningen uitgevoerd op de Rotterdamse LNG-terminal, zeggen de onderzoekers van Dragos. En die groep heeft volgens hen doorgaans ontwrichtende bedoelingen.
Ze zijn gespecialiseerd in het maken van malware voor industriële controlesystemen, waarbij ze dus verder kijken dan de computers of servers op een kantoor.
Ze richten zich specifiek op de controle- en besturingssystemen die grote machines en apparaten aansturen, zoals bij waterzuiveringen en energiebedrijven. De systemen die doelwit zijn, zorgen er normaal gesproken voor dat de machines veilig en goed blijven werken.
Potentiële doelwitten rond LNG
De hackers van Xenotime hebben in 2017 al laten zien geavanceerde controlesystemen in de Saudische petrochemie te kunnen saboteren.
Mochten aanvallers daadwerkelijk geïnteresseerd zijn in verstoring of sabotage van de LNG-terminals in Nederland, dan zouden ze zich kunnen richten op de koelsystemen, pompen en klepafsluiters binnen de processen waar de vloeibare LNG omgezet wordt naar gas, legt Jos Wetzels van Secura uit.
De koelsystemen bijvoorbeeld zorgen dat het gas vloeibaar blijft in de opslagtanks. "Als aanvallers de temperatuursensoren en koelsystemen manipuleren, kan dat leiden tot gasvorming en overdruk binnen de tanks, waardoor het hele proces in de soep loopt."
Bovendien is er altijd het risico dat aanvallers voor simpelere ransomware-aanvallen kiezen, waarbij verstoringen in de IT-systemen alsnog tot het stilleggen van fysieke processen kan leiden, zoals bij de Colonial pipeline-hack van 2021.
'Hoe langer oorlog duurt, hoe aantrekkelijker'
Met de kennis die de hackers opdoen kunnen ze drie dingen doen, zegt Brooks van Dragos.
Ze kunnen bekijken via welke ingangen ze mogelijk toegang krijgen tot netwerken en systemen van het bedrijf. Een andere optie is heel doelgericht personeel benaderen om via phishingmails login-gegevens te bemachtigen of het personeel te verleiden malware te laten installeren. Daarnaast kunnen ze malware ontwikkelen waarmee ze machines kunnen saboteren.
'Risico bestaat'
Maar met het scannen van de systemen van LNG-terminals kunnen de hackgroepen niet gelijk zo’n laatste aanval uitvoeren. "Het risico bestaat", stelt Brooks, "maar dat is niet heel groot. Ze moeten dan flink investeren in snel manieren ontwikkelen waarmee ze schade kunnen aanrichten. Maar hoe langer de oorlog duurt, hoe aantrekkelijker LNG-terminals worden als doelwit."
Het zou ook goed kunnen dat de LNG-terminal in Rotterdam niet het daadwerkelijke doel is van de hackers, zegt Brooks. Ze kunnen hun kennis ook gebruiken om ergens anders aanvallen uit te voeren.
NCTV: dijken ophogen en alert zijn
Sinds de start van de oorlog waarschuwen Westerse inlichtingendiensten dat vitale infrastructuur een interessant doelwit is voor Russische staatshackers.
En ook de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) zegt al langer dat statelijke actoren digitaal voorbereidingshandelingen treffen voor daadwerkelijke verstoring en sabotage.
Die waarschuwing blijft overeind, ook nu Russische hackers actief onderzoek lijken te doen. Dat zegt Pieter-Jaap Aalbersberg van de NCTV.
"Die dreiging is altijd al hoog geweest. Of het nu om verstoring gaat, het onderbreken van processen of om spionage: de afgelopen rapporten hebben dat hoog beschreven. Daarin is de oorlog in Oekraïne meer een bevestiging dan een nieuwe intensivering."
De veiligheid van de Nederlandse vitale infrastructuur is op orde, zegt de Aalbersberg. "Maar vandaag op orde is morgen misschien niet meer op orde. Dus het is blijvend zorgen dat we de dijken voortdurend blijven ophogen en op dit moment ook alert zijn."
Nieuwe Europese richtlijnen en de cyber strategie van het kabinet moeten er ondermeer voor zorgen dat de cyberveiligheid verhoogd wordt.