'De bibliotheek voor de bestrijding van digitale criminaliteit'

Het verhaal achter ‘Tienduizenden zonnepanelen kwetsbaar’

Gepubliceerd op 26 juli 2022 om 15:00

Een Nederlandse hacker kwam zonder moeite binnen bij Solarman, een Chinees bedrijf dat in Nederland voor 42 duizend klanten zonnepanelen beheert. Hij kon de panelen gebruiken om het stroomnet een opdonder te geven, of digitale aanvallen uit te voeren. Meldingen over het lek bij Solarman haalden niet veel uit; uiteindelijk moest de Nederlandse ambassade eraan te pas komen. De hack werd zondag bekend gemaakt. De achterliggende vraag: kan China (delen van) ons stroomnetwerk uitschakelen?

Software-architect en ’s nachts hacker

Jelle Ursem is overdag software-architect en ’s nachts hacker. Hij is goed in wachtwoorden vinden. Als Ursem de naam van een bedrijf tegenkomt, kijkt hij of hij ergens een gebruikersnaam en een wachtwoord kan vinden. Lukt dat, dan controleert hij of de sleutel nog werkt en kijkt hij even binnen. Als hij iets waardevols ziet, waarschuwt hij het bedrijf: kwaadwillenden kennen deze truc immers ook. En een wachtwoord vinden is soms alsof je een schat vindt, of een tas vol wapens.

De truc werkt opvallend vaak. ‘De kans dat ik iets vind is te groot. Het is gewoon idioot.’ Op zijn trofeeënlijst staan Philips, NVIDIA, Coolblue, Facebook, Apple, Amazon, de Rabobank en de Belastingdienst.

Op 16 april 2021 zag Ursem een tweet van Célistine Oosting over het zonnepaneelsysteem van haar ouders. Dat was ooit geleverd door het Duitse bedrijf Omnik; dat was intussen failliet gegaan en overgenomen door het Chinese Solarman. Oosting – zelf ook ethisch hacker – ontdekte dat de data van het systeem naar China gestuurd werden. Dat is in strijd met de Algemene verordening gegevensbescherming (AVG), die de bescherming van persoonsgegevens binnen de Europese Unie moet garanderen.

Ursem kende het bedrijf niet. Hij deed zijn trucje: op Github, waar programmeurs aan projecten samenwerken, zocht hij op ‘Solarman’ en ‘password’. En jawel: hij vond een admin-account – het opper-account – met een wachtwoord: een Chinese naam met ‘123’ erachter.

Een akelig zwak wachtwoord, al heeft een sterk wachtwoord ook geen zin als je het online laat slingeren. Stond wellicht de tweefactor-authenticatie aan? Dan was er nog niet zoveel aan de hand. 

Ursem tikte de gebruikersnaam en het wachtwoord in. Even gebeurde er niks.

Toen was hij binnen. Hij zag een soort webpagina. ‘Een admin-portaal waarin je apparaatjes kunt registreren,’ legt hij Follow the Money uit. En een lange klantenlijst. ‘Ik kon hier en daar een instel linkje aanpassen.’

Solarman bleek apparatuur en een platform te onderhouden om de energie te monitoren die lokale zonnepanelen opwekken en die zo mogelijk terug te leveren aan het stroomnet.

Ursem zag duizenden Nederlandse namen en adressen in de klantenlijst van het Chinese bedrijf. Als ‘beheerder’ kon hij klanten aanmaken of verwijderen en al hun gegevens bekijken. Zoekend naar zijn eigen woonplaats vond hij al snel mensen uit zijn buurt. Hij kon hun gps-coördinaten bekijken, zien hoeveel stroom ze opwekten, op welke manier hun zonnepanelen met internet waren verbonden en of er storingen in hun systeem zaten. Hij zat in de cockpit van het bedrijf en was de ‘God’ van alle computersystemen die eraan vastzaten.

Pagina om firmware te uploaden | screenshot Jelle Ulmer

Pagina om nieuwe firmware bij klanten te installeren (de serienummers van de omvormers en de namen van de netwerken van de klanten zijn wit gemaakt) | Screenshot Jelle Ulmer

Een rilling ging over zijn rug toen hij zag dat hij zelfs de firmware van de omvormers van de zonnepanelen kon downloaden en uploaden. Firmware is de software die is ingebouwd in apparaten, die zorgt dat ze doen wat de fabrikant wil. Omvormers zijn apparaatjes die de gelijkspanning die de zonnepanelen opwekken, omzetten naar 230 volt wisselspanning: de stroom die uit het stopcontact komt.

Met een botnet kun je een land platleggen

Wie zijn eigen firmware op de omvormers installeert, kan ze laten doen wat hij wil. Hij kan ze gebruiken om in te breken op het lokale netwerk van klanten, maar hij kan ze ook kapen. Zo kan hij grote aantallen omvormers in zijn macht krijgen, om een botnet te vormen dat hij vanaf zijn laptop kan aansturen.

Het is dan mogelijk om grote aantallen omvormers tegelijkertijd uit te zetten – of ze kapot te maken. En dat kan grote gevolgen hebben, liet Janit0r in 2017 al zien. Deze hacker besmette wereldwijd meer dan tien miljoen camera’s en andere ‘slimme apparaten’ die aan internet waren gekoppeld. Hij maakte BrickerBot, kwaadaardige software (malware) die van apparaat naar apparaat sprong en ze een voor een onklaar maakte. Dat veranderde de aangesloten apparaten in nutteloos gewicht: bakstenen. Vandaar de naam.

Janit0r, die ook onder de naam The Doctor opereerde, zag BrickerBot als een soort chemotherapie om internet gezond te maken, en minder kwetsbaar voor aanvallen zoals die met de Mirai-malware, die op dezelfde manier werkte. Eind 2016 werd het Mirai-botnet gebruikt voor grootschalige DDoS-aanvallen, waarbij het lukte om het internetverkeer in het Afrikaanse Liberia plat te leggen.

Bij een Distributed Denial of Service-aanval worden er vanaf duizenden computers tegelijkertijd enorme hoeveelheden data naar een server gestuurd. Die raakt daardoor overbelast en dus onbereikbaar. Zo kunnen bijvoorbeeld websites worden platgelegd. Met een botnet van apparaten die het stroomnet voeden, kun je niet alleen servers overbelasten, maar ook het stroomnet. Wat kun je dan allemaal doen met een botnet van apparaten waar 230 volt en vaak zelfs 400 volt op staat?

Het digitale Rode Kruis

Ursem werd bevangen door een typische hacker-emotie: een combinatie van opwinding en angst. Hij was ergens waar hij te veel macht had en waar hij eigenlijk niet mocht zijn. Hij moest Solarman zo snel mogelijk waarschuwen, zonder dat hij zelf risico liep. Het zou niet de eerste keer zijn dat een ethisch hacker die het slechte nieuws bracht, in de problemen kwam.

‘Toch bizar dat ik zo makkelijk iets kon vinden waarmee ik horrorscenario’s werkelijkheid kan laten worden. Ik zat in zo’n film waarin iemand met zijn laptopje een half energiegrid platlegt,’ verzucht Ursem.

Hij realiseerde zich dat dit te groot was om in zijn eentje op te lossen, en vroeg hulp bij het Dutch Institute for Vulnerability Disclosure (DIVD): een groep van tientallen hackers die zich vrijwillig inzetten om het internet zo gezond mogelijk te houden. Dit ‘digitale Rode Kruis’ heeft korte lijntjes met zowel de internationale hacker gemeenschap als met het Nationaal Cyber Security Centrum (NCSC).

Via het DIVD ging een mailtje naar Solarman. Er kwam geen antwoord, maar kort daarna werd het wachtwoord veranderd. ‘Ik kon niet meer inloggen en dacht: mooi, dat is klaar,’ zegt Ursem.

Maar het was niet klaar. Op 3 februari 2022 las Ursem een blog van Jan van Kampen, een ethische hacker die een datalek had ontdekt bij het Chinese Growatt, dat in omvormers voor zonnepanelen handelt. Ursem keek voor de zekerheid of Growatt soms ook door Solarman was opgekocht. Tegelijkertijd checkte hij of het lek bij Solarman nog dicht was.

Tot zijn ontzetting zag hij dat het oude wachtwoord weer werkte. Hij kon hij er weer in.

De positie van Solarman in Nederland

Ursem besloot meer onderzoek te doen. Hij zag in Solarmans computersysteem dat het bedrijf ruim 42 duizend Nederlandse klanten had. Op het digitale bedieningspaneel kon hij real time meekijken hoeveel vermogen hun zonnepanelen produceerden. Op een gewoon dak lag vaak vier tot tien kilowatt aan zonnepanelen, goed voor vier tot tien broodroosters, maar er waren ook grotere installaties. De grootste bevindt zich in Vlissingen: 37 megawatt. 

Op een zonnige dag leveren de installaties van al deze Nederlandse klanten ongeveer 400 megawatt. Ter vergelijking: de kerncentrale in Borssele levert 485 megawatt. Zou je Borssele abrupt uitzetten, dan is dat een flinke klap – maar wel een die kan worden opgevangen, omdat we onderdeel zijn van het Europese stroomnetwerk. Als in Nederland als gevolg van zo’n klap plotseling te weinig spanning in het netwerk zit, wordt dat gecompenseerd door bijvoorbeeld een waterkrachtcentrale in Noorwegen.

Gelukkig was Solarman in andere Europese landen minder populair dan in Nederland. Ursem had toegang tot ongeveer 1 gigawatt, verspreid over heel Europa; dat komt neer op de stroom die een miljoen huishoudens, gemiddeld over de dag, op elk moment gebruiken. Als die ene gigawatt wegvalt, kan het Europese stroomnet dat waarschijnlijk opvangen. Net zoals het netwerk het aankan wanneer grote aantallen mensen in de rust van een belangrijke voetbalwedstrijd de frituur aanzetten. 

‘Als je Europa op de knieën wilt krijgen, heb je vermoedelijk vijf gigawatt nodig,’ zegt Willem Westerhof, senior security specialist bij Secura, dat zich onder meer toelegt op het testen van de beveiliging van kritieke infrastructuur.

Als student toonde Westerhof in 2017 al aan hoe kwetsbaar het Europese elektriciteitsnet is voor aanvallen op vaak slecht beveiligde zonnecel systemen. Op het Nederlands hacker festival SHA2017 beschreef hij hoe makkelijk omvormers te hacken zijn: hij was in staat grote hoeveelheden zonnepanelen tegelijkertijd uit te zetten. Hij liet zijn toehoorders overtuigend zien dat hij het Europese stroomnet plat kon leggen. The Horus scenario noemde hij dat, verwijzend naar de Egyptische zonnegod.

Het stroomnet is een levensader (met verkalking)

Het elektriciteitsnet is een fantastisch monster. ‘Het is de grootste en meest complexe machine die ooit is gemaakt,’ schreef Philip F. Schewe in zijn gelauwerde boek The Grid (2007). Schewe waarschuwde: ‘hoe groter het wordt, hoe onvermijdelijker de ineenstorting ervan. [..] Geconstrueerd uit ingewikkelde onderling afhankelijke componenten, werkt het stroomnetwerk met een snel slinkende tolerantie voor fouten. Er kunnen en zullen dingen misgaan in dit systeem, hoeveel preventieve maatregelen we ook nemen.’

De complexiteit die voor stabiliteit zorgt, zorgt ook voor onvoorspelbaarheid. En er is altijd het gevaar van cascades, een zich snel voortplantend incident. Dat gebeurde in 2003 in Italië, toen stroomkabels in de Alpen overbelast raakten. Andere delen van het netwerk probeerden het evenwicht te herstellen en raakten prompt zelf overbelast. Uiteindelijk zat heel Italië, op Sardinië na, een etmaal zonder stroom. Dat niet heel Europa werd meegesleurd, kwam alleen doordat het Italiaanse netwerk net op tijd werd ontkoppeld van de rest van Europa.

De aanvankelijke storing kan worden veroorzaakt door aanvallen van statelijke actoren, hackers of natuurrampen, zoals de bosbrand in Californië in 2018, die een blackout veroorzaakte.

Niemand weet hoe het stroomnet zal reageren op klappen die het niet eerder kreeg. Hernieuwbare energiebronnen zorgen daarom voor meer kopzorgen bij stroomnet beheerders, omdat daarbinnen grote fluctuaties kunnen optreden, bijvoorbeeld door extreem weer.

Tijdens de zonsverduistering van 2015 namen ingenieurs speciale maatregelen om het wegvallen van het vermogen van de Europese zonnepanelen op te vangen. Het lukte toen om het stroomnet stabiel te houden, maar de zonsverduistering was voorspeld en verliep geleidelijk. ‘Elke stap voorwaarts die Fred Astaire zet, moet worden beantwoord door Ginger Rogers die achteruit gaat, op hakken,’ schreef Schewe, refererend aan het gouden danskoppel uit oude Hollywoodfilms.

‘Op zonnige dagen in het weekend komt soms alle energie al uit zonnepanelen en hernieuwbare energie,’ zegt een woordvoerder van TenneT. ‘Niet zo lang geleden trok er een fikse onweersbui over het land, een onvoorspelbare gebeurtenis. Er viel plotseling een paar gigawatt weg. Dat kon het stroomnet prima opvangen.’ 

Als Fred Astaire te snel en onvoorspelbaar beweegt, kan Ginger Rogers het niet meer bijbenen.

Mogelijk desastreus

‘Dit is waarom omvormers met aangepaste firmware zo gevaarlijk zijn,’ zegt Frank Breedijk, vrijwilliger bij het DIVD en overdag Chief information security officer van Schuberg Philis, dat de digitale infrastructuur verzorgt van banken, ministeries en de haven van Rotterdam. ‘Een hacker kan zonnecellen snel en onvoorspelbaar laten uitvallen, door bijvoorbeeld eerst alle omvormers in de ene regio uit te zetten en vervolgens die in een andere regio.’ 

Als een aanvaller met grote aantallen omvormers op tactische plaatsen zou gaan ‘klapperen’ - ze herhaaldelijk aan- en uitzetten – zijn de gevolgen moeilijk te voorspellen en mogelijk desastreus.

Vanaf zijn laptop kon Ursem wereldwijd bijna een miljoen omvormers bereiken. Op het dashboard in het admin-account kon hij zien hoeveel vermogen ze leverden: afhankelijk van waar de zon scheen, was dat wereldwijd soms meer dan tien gigawatt. (Solarman claimt op zijn website meer dan 2 miljoen installaties te beheren, met meer dan 65 gigawatt aan zonnepanelen. Beide aantallen lijken volgens Ursem overdreven.) 

Een creatieve aanvaller met toegang tot zo’n account heeft veel mogelijkheden om het stroomnet te tarten. Westerhof: ‘Als je stroom op de verkeerde frequenties in het netwerk pompt, heb ik geen idee wat er gebeurt. En als er uit een omvormer 380 volt komt, met een andere frequentie dan de 50 Hertz van het stroomnet, weet ik niet wat er met je meterkast thuis gebeurt. Laat staan met hoogspanningskabels, als je zoiets op veel plekken tegelijk doet. Elke significante wijziging van de frequentie die terug het stroomnet ingaat, kan voor veel ellende zorgen.’

Hij benadrukt dat er bij de betere omvormers vaak hardwarematige – dus niet op afstand te hacken – beveiligingen zijn ingebouwd, die dit soort gedrag moeten voorkomen.

‘Maar iemand die hier serieus tijd voor heeft, en het liefst ook een testopstelling, kan hoe dan ook een heel eind komen,’ zegt Westerhof. ‘Naties hadden natuurlijk altijd al de macht om ergens een stroomnetwerk plat te leggen, bijvoorbeeld door een centrale te bombarderen. Dat nu ook een paar hackers of een eenling dit soort macht kan uitoefenen, is zorgelijk.’

Solarman geeft niet thuis

‘Ik heb in februari van dit jaar alle alarmbellen laten afgaan,’ zegt Ursem. ‘Ik wilde dit aan de grootste klok hangen die er is. Als ik dit lek aan de fabrikant meldt, zet die dat ding dicht. Maar waarom zijn al die omvormers met China aan het kletsen? Waarom is dit niet beter beveiligd? Daar moeten we het over hebben.’

Nadat Ursem voor de tweede keer over het lek bij het DIVD aanklopte, zochten zij meteen contact met het NCSC. Met gevoel voor understatement zegt Frank Breedijk, crisismanager van het DIVD: ‘Tussen ons en het NCSC bestond geen mismatch in sense of emergency.’

Op 20 februari 2022 probeerde het NCSC contact op te nemen met Solarman en CN-CERT, de Chinese digitale brandweer. ‘Dat leverde alleen maar stilte op,’ zegt Breedijk.

Op 10 mei nam iemand van de Nederlandse ambassade in China contact op met CN-CERT. Op 17 juni bezochten Victor Gevers van het DIVD en iemand van het ministerie van Buitenlandse Zaken de Chinese ambassade in Den Haag. Toen er eindelijk contact was tussen het NCSC en CN-CERT, ging het snel en werd het lek binnen 24 uur gedicht. Op 2 juli – vijf maanden nadat Ursem het lek voor de tweede keer vond – is Solarmans beheerderswachtwoord veranderd en zijn de gegevens op Github verwijderd.

De Europese vitale infrastructuur

Daarmee is de kous niet af. Kennelijk is er een Chinees bedrijf dat op afstand controle heeft over honderden megawatts vermogen in Nederland. Dat bedrijf stuurt - tegen alle regels in – grote hoeveelheden klanten data naar China, en kan op afstand de omvormers van zonnepanelen in Nederland uitzetten of vernielen. En het hoofdkantoor van dat bedrijf is gevestigd in kamer 1705 van een bedrijven pand in Shenzen en is onbereikbaar in geval van een calamiteit.

Chinese bedrijven mogen geen cruciale delen bouwen van het Nederlandse stroomnet op de Noordzee. Ze zijn volgens minister voor Klimaat en Energie Rob Jetten (D66) een te groot risico voor de staatsveiligheid. Maar grote groepen omvormers van zonnepanelen zijn ook ‘vitale delen’ in ons stroomnet.

Wat als er een handelsconflict met China ontstaat, of China beledigd is omdat de Dalai Lama Nederland bezoekt? Kan China dan dreigen de omvormers in Nederland uit te zetten, zoals Rusland nu dreigt met het uitzetten van de gastoevoer via Nord Stream?

Geld wint het van veiligheid

Anders dan bij de transformators van de Noordzee-windmolens zitten de zonnepaneel-omvormers ‘achter de meter’, bij burgers thuis. Overheden en energiebedrijven hebben niets te zeggen over apparaten die consumenten zelf aanschaffen. Omvormers die aan de Europese regels voor brand- en elektrische veiligheid voldoen, mogen simpelweg worden verkocht. Het Agentschap Telecom, dat toezicht houdt op de digitale infrastructuur in Nederland, mag alleen ingrijpen als apparaten onveilig zijn, zoals vorig jaar gebeurde toen zonnepanelen storingen veroorzaakten op het C2000-netwerk van politie, brandweer en ambulances.

De digitale kwetsbaarheid staat vaak op het tweede plan. Veiligheidsexpert Westerhof: ‘De leveranciers van zonnepanelen zeggen: “Dat is niet mijn probleem, dat is aan de gebruiker.” De gebruiker zegt: “Security is te moeilijk, ik snap dat niet.” De installateur zegt: “Ik hou het liever makkelijk, het is niet mijn shit.” Eigenlijk wil je een set minimumeisen voor apparaten die op een significante manier aan internet hangen, maar dat is niet eenvoudig.’

En er hangen steeds meer apparaten aan internet, van elektrische tandenborstels en stappentellers tot slimme energiemeters en moderne auto’s. Westerhof: ‘De meeste “slimme” apparaten worden puur op basis van functionaliteit ontwikkeld. Het veiligheidsaspect wordt niet in het ontwerp meegenomen. Geld in de portemonnee wint het van veiligheid. Het moet eerst een keer echt misgaan voordat men in actie komt.’

Vanaf 2024 moeten ‘slimme’ apparaten, om op de Europese markt toegelaten te worden, voldoen aan een set minimum veiligheidseisen. Standaard wachtwoorden die voor elk apparaat gelden, mogen dan niet meer. Firmware updates zouden geverifieerd moeten worden op basis van authenticiteit en integriteit, zodat het moeilijker wordt er een valse update in te fietsen.

Sinds 2021 zijn er wel regels gesteld aan de apparatuur waarmee je stroom kunt ‘terugleveren’ aan het stroomnet, maar die kunnen niet voorkomen dat hackers alsnog hun weg naar binnen vinden. Enes Baser van Holland Solar, de brancheorganisatie van zonne-energie-experts, beaamt dat de beveiliging van zonnepaneel systemen zorgelijk is.

‘Bij grote zonneparken is het beheer van de zonnepanelen soms uitbesteed aan een IT-beheerder. Als die zijn beveiliging niet op orde heeft, is dat ook een weg naar binnen. Het is belangrijk dat de overheid snapt hoe de sector in elkaar zit en een dialoog tussen beide ontstaat, zodat we gezamenlijk kunnen werken aan veiliger zonnestroom systemen.’ Dan, diplomatiek: ‘Die gesprekken lopen, maar we merken dat er nog wel wat stappen gezet moeten worden.’

Superadmin account

Tenslotte is er dus de fabrikant zelf, die de controle heeft over soms miljoenen apparaten, zoals Solarman. Ook daarover moet goed worden nagedacht, zeker indien het bedrijven betreft uit landen met een offensief cyberprogramma tegen Nederland.

Moeten er regels komen voor het beheer van een superadmin-account? Moet er een maximum komen aan de hoeveelheid zonnepanelen die per merk op de Nederlandse daken mogen liggen? Moeten er verplicht hardware-beveiligingen komen, zodat iemand een apparaat niet zomaar van een afstand in brand kan laten vliegen? En moet er een hotline komen met de netbeheerders?

Maar zelfs wanneer alles goed geregeld is, zijn er steeds meer mensen die van een afstand invloed kunnen uitoefenen op ons stroomnet.

Frank Breedijk, die met Ursem meekeek in het superadmin-account van Solarman: ‘Iedereen begrijpt dat er voor Googles Nest of Tesla ook dit soort superadmin-accounts bestaan, maar als je letterlijk via zo’n account naar binnen kijkt, wordt dat besef toch anders.’

Full disclosure: journalist Gerard Janssen helpt het DIVD soms als vrijwilliger bij het schrijven van rapporten.

Bron: ftm.nl | Gerard Janssen

Meer info over hacking 

Meer hacking nieuws


«   »