Solar Magazine – Onderzoekers hackten 42.000 Nederlandse installaties met zonnepanelen

Solarman is een Chinees bedrijf dat zonne-omvormers, dataloggers en batterijen exploiteert. Het wachtwoord van het zogenaamde Super Admin-account van het bedrijf zweeft rond op internet en hierdoor zijn de zonnepaneleninstallaties die zijn aangesloten op het Solarman-monitoringplatform al geruime tijd kwetsbaar voor cyberaanvallen.

github
Naar aanleiding van een tweet van Célistine Oosting besloot Jelle Ursem in april 2021 de mogelijkheid te onderzoeken om toegang te krijgen tot de klantgegevens van Solarman. In Nederland biedt dit Chinese bedrijf eigenaren van een omvormer van het merk Omnik – deze Chinese fabrikant ging in 2020 failliet – een applicatie om de productiviteit van hun zonnepanelen te monitoren.

Ursem vond een gebruikersnaam en wachtwoord op GitHub – een online softwareontwikkelingsplatform – waarmee hij toegang kreeg tot het Solarman-portaal. Het blijkt een super admin account te zijn. Aangezien het account geen Multi-Factor Authentication (MFA) heeft – een methode waarbij een online gebruiker twee stappen succesvol moet doorlopen om toegang te krijgen tot het account – kon Ursem inloggen. Dit gaf de hacker de mogelijkheid om niet alleen gevoelige data van alle SolarMan-klanten in te zien – waaronder GPS-coördinaten en actuele en historische productiegegevens van de zonnepanelen – maar ook om de nieuwe firmware voor alle omvormers te downloaden.

Oud Wachtwoord
Op het SolarMan-platform staan ​​bijna 1 miljoen zonnepaneleninstallaties met een vermogen van meer dan 10 GW geregistreerd. De meeste systemen staan ​​in China en Australië, maar er zijn ook zeker 42.000 zonnepanelen in Nederland. In de tweede helft van april 2021 wordt SolarMan op de hoogte gesteld van het datalek en zal het bedrijf het wachtwoord wijzigen. In februari 2022 ontdekte Ursem echter dat het oude account met het bijbehorende wachtwoord weer gebruikt kon worden.

Ursem trad toen toe tot het Nederlands Instituut voor Kwetsbaarheidsdetectie (DIVD). Deze vrijwilligersorganisatie zoekt naar kwetsbaarheden in digitale systemen en laat organisaties weten dat ze er iets aan kunnen doen. Naar aanleiding van de melding van Ursem heeft de DIVD besloten een zaak te openen en te rapporteren aan het Nationaal Cyber ​​Security Centrum (NCSC), onderdeel van het ministerie van Justitie en Veiligheid.

Chinese ambassade
“Het sluiten van de rekening was moeilijk”, legt de DIVD uit. “De eerste keer reageerde Solarmann snel, maar rustig. Sterker nog, noch wij, noch het Rijksdienstencentrum kregen een reactie van hen. Het Nationaal Centrum voor Sportbeveiliging heeft geprofiteerd van de hulp van de Nederlandse Ambassade in China en onderzoekshoofd Victor Jeffers bezocht de Chinese Ambassade in Den Haag om te communiceren Ten slotte werd het wachtwoord gewijzigd en de repository verwijderd.Kort daarvoor bevestigde CERT China de ontvangst van de melding aan het NCSC.

Volgens de DIVD zou een cybercrimineel met toegang tot dit beheerdersaccount in theorie de firmware kunnen downloaden en wijzigen en deze nieuwe firmware naar deze adapters kunnen uploaden. Dit maakt de vorming van robots met reflectoren mogelijk. Volgens de DIVD “zal het uit- en weer inschakelen van de transformatoren het elektriciteitsnet ernstig verstoren”.

complot
Het netto-effect van het verwijderen van de repository en het opnieuw instellen van het wachtwoord is het verminderen van het aantal partijen met het potentieel om deze toegang te misbruiken van “iedereen die het wachtwoord op GitHub kan vinden” tot de leverancier die de bron kan verifiëren, concludeert de DIVD.

DIVD presenteerde eind juli de SolarMan-case op MCH 2022; Geweldige piratenconferentie in Zeewold.