Twee cyberbeveiligingsbedrijven brachten gisteren hun analyse naar buiten van een stroomuitval in de Oekraïense hoofdstad Kiev in 2016. Die werd veroorzaakt door een cyberaanval met een stuk malware, dat door zijn veelzijdigheid tot nog veel meer aanvallen in staat is, ook in andere landen. Het lijkt erop dat Kiev slechts een test was van de malware. De malware bevat softwarecode die volledig automatisch acties onderneemt om elektrische substations uit te schakelen. Om te beginnen brengt de software in kaart waar kritische onderdelen zich bevinden en hoe ze werken in de praktijk. Volgens die methode kan de malware bepaalde schakelaars herkennen en open zetten, zodat de stroomvoorziening wegvalt. Tegelijk wordt de software voor die schakelaars gewist, zodat een operator die niet meer van afstand kan sluiten. Die moet dus fysiek naar de installatie komen, wat extra tijd kost.
Twee cyberbeveiligingsbedrijven brachten onlangs hun analyse naar buiten van een stroomuitval in de Oekraïense hoofdstad Kiev in 2016. Die werd veroorzaakt door een cyberaanval met een stuk malware, dat door zijn veelzijdigheid tot nog veel meer aanvallen in staat is, ook in andere landen.
Het lijkt erop, dat Kiev slechts een test was om de malware uit te proberen. Hoe de malware op de systemen van het Oekraïense elektriciteitsbedrijf terecht zijn gekomen, is niet bekend. Het is goed mogelijk dat hiervoor phishing-e-mails zijn gebruikt, denkt ESET. Dit zijn nepberichten met een link die na klikken ervoor zorgt dat een stukje kwaadwillende software naar de ontvanger wordt gestuurd en zich op diens PC installeert.
De onderzoekers van het beveiligingsbedrijf ESET hebben het nieuwe virus ontdekt, dat de delen van het elektriciteitsnetten op afstand de bedrijfsvoering over kunnen nemen.
n.l. Met het zogenaamde "Industroyer" kunnen hackers op afstand bepalen wanneer deze een beheersysteem in hoogspanningsnetten wordt uitgeschakeld.
Industroyer is volgens ESET gemakkelijk aan te passen malware, deze kan voor aanvallen op verschillende soorten industriële systemen worden gericht. Hieronder vallen onder meer oliecentrales, transportnetwerken en sluizen. etc. De versie van het virus, date het beveiligingsbedrijf aantrof, is ontworpen om elektriciteitsnetten uit te schakelen en zo danig dat ook het op afstand herinschakelen van vermogenschakelaars wordt geblokkeerd. Volgens ESET kan met een paar minimale aanpassingen ook Nederland mogelijk slachtoffer worden van Industroyer."
Industroyer/Crash Override heeft vier modules aan boord om aanvallen uit te voeren. Elke module communiceert via een ander protocol met de apparaten in het stroomnet. Afhankelijk van welke protocollen in een bepaald land worden gebruikt, zet de malware een betreffende module in. Dit wijst er ook op dat de malware speciaal is geschreven om in verschillende landen te worden ingezet. De stroomuitval in de Oekraïne was waarschijnlijk maar een test, en de beheerders van stroomnetten in andere landen doen er goed aan om hun beveiliging van hun besturings- en monitoringsystemen te checken.
Zie ook het artikel in "De ingenieur" Gevaarlijke malware legt stroomnet plat, 13 juni 2017 en het artikel in de nieuwsbrief van HCCNET ESET ontdekt virus dat stroomnetwerken plat legt,
Volgens Wired zijn voor het inzetten van de malware veel minder mensen nodig dan voor eerdere cyberaanvallen. Dat betekent dat deze manier van aanvallen beter schaalbaar is. ‘Hadden de hackers in 2015 nog twintig mensen nodig om drie elektriciteitsbedrijven aan te vallen, nu zouden diezelfde twintig man wel vijftien plekken tegelijk kunnen aanvallen’, aldus Robert M. Lee van Dragos tegen Wired.
De cyberaanval met de malware lijkt op het eerdere Stuxnet, de computerworm die in 2010 een aantal ultracentrifuges in Iran beschadigde, waarmee het land uranium verrijkte (lees: ‘Computerworm Stuxnet legt fysieke processen in fabrieken plat’). Toen ging er een schok door de computerwereld.
Voor het eerste keer realiseerden veel mensen zich, dat het mogelijk was om met software de processen in een fabriek in het honderd te laten lopen (lees ook: ‘Hackers gevaar voor chemiefabriek’ en ‘Onveilig Internet of Things vraagt om actie’).
Volgens de analisten is Industroyer/Crash Override pas het tweede stuk kwaadwillende software dat speciaal is ontworpen om fysieke industriële installaties lam te leggen en elektriciteitsnettten te kunnen uit schakelen.
Openingsbeeld: een verdeelstation van het elektriciteitsnet, niet in de Oekraïne. Foto Vattenfall en de Illustratie is van ESET.