image

Malware saboteert computers bij Oekraïense energiebedrijven

maandag 4 januari 2016, 12:01 door Redactie, 8 reacties
Laatst bijgewerkt: 04-01-2016, 14:04

Oekraïense energie- en mediabedrijven zijn het doelwit van malware geworden die computers saboteert door documenten en bestanden te overschrijven, zodat systemen niet meer opstarten. Dat meldt het Slowaakse anti-virusbedrijf ESET. Het gaat om de BlackEnergy-malware, die al sinds 2007 bestaat.

De aanval begint met een Lite-versie van BlackEnergy, waarmee de aanvallers kunnen controleren of de besmette computer ook van het bedoelde doelwit is. Als dit het geval is, wordt de volledige versie van BlackEnergy gedownload. De versies van de malware die vorig jaar werden ontdekt blijken over een 'KillDisk' onderdeel te beschikken dat als doel heeft om documenten en bestanden te overschrijven, zodat de computer niet meer opstart.

Voor mediabedrijven gebruikten de aanvallers een andere KillDisk-versie, die vooral gericht was op het vernietigen van bestanden en documenten. Bij de energiebedrijven werden juist Windows Event Logs verwijderd, kon er een moment voor het overschrijven worden ingesteld en was er minder nadruk op het vernietigen van documenten. Waar de versie van mediabedrijven meer dan 4.000 bestandsextensies overschreef, richtte de versie voor energiebedrijven zich op slechts 35 extensies.

Update

ESET meldt dat verschillende energiebedrijven in de Oekraïne het doelwit van de aanvallers waren en er bij sommige het KillDisk-onderdeel is gebruikt. Om de malware te verspreiden gebruiken de aanvallers Office-documenten met kwaadaardige macro's. De documenten zijn zogenaamd van de overheid afkomstig en bevatten tekst waarin de ontvanger wordt opgeroepen om de macro's uit te voeren. Macro's staan standaard in Office uitgeschakeld, maar als de gebruiker die inschakelt wordt de Lite-versie van BlackEnergy gedownload.

Reacties (8)
04-01-2016, 13:30 door Righard J. Zwienenberg
Hoe de malware precies bij de slachtoffers terechtkomt laat ESET niet weten.

Dit staat beschreven in een volgende blog: http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry/
04-01-2016, 14:59 door Anoniem
Drie keer raden wie er een conflict heeft met de Oekraine over betaling van energieleveranties.
04-01-2016, 16:44 door Eric-Jan H te D
Door Anoniem: Drie keer raden wie er een conflict heeft met de Oekraine over betaling van energieleveranties.

Het lijkt mij meer een signaal van diezelfde afzender: "Bezint voor u zich aan het westen verbindt". Die rekeningen waren dacht ik al met bemiddeling van de EU betaald.
04-01-2016, 20:29 door Anoniem
Door Anoniem: Drie keer raden wie er een conflict heeft met de Oekraine over betaling van energieleveranties.
Geen idee!
Maar ik weet wel dat ze slechte ogen hebben. Ze schieten een Maleisisch vliegtuig uit de lucht terwijl ze denken dat het een Oekraïns vliegtuig is.
04-01-2016, 20:59 door karma4
Macro's staan standaard in Office uitgeschakeld, maar als de gebruiker die inschakelt wordt de Lite-versie van BlackEnergy gedownload.
Kunnen ze ook gewoon een mailtje sturen: "zet nu die en die knop om." Als de bediener zo is ....
En waarom hangen de computers die kritisch dan zo open aan internet. Als de secretaresse even niet kan werken, wat maakt dat dan uit?
04-01-2016, 22:38 door Anoniem
Door karma4:
Macro's staan standaard in Office uitgeschakeld, maar als de gebruiker die inschakelt wordt de Lite-versie van BlackEnergy gedownload.
Kunnen ze ook gewoon een mailtje sturen: "zet nu die en die knop om." Als de bediener zo is ....
En waarom hangen de computers die kritisch dan zo open aan internet. Als de secretaresse even niet kan werken, wat maakt dat dan uit?
Waaruit maak jij op dat er kritieke infrastructuur getroffen is?

Nutsbedrijven worden beschouwd als zijnde "van strategisch belang" (vandaar de term "nut"sbedrijf), dus ook spionage bij een dergelijke (staats?)onderneming is een dreiging voor een overheid.

Geopolitieke belangen.
05-01-2016, 09:00 door Anoniem
" Bij de energiebedrijven werden juist Windows Event Logs verwijderd,"

Jammer dat het niet gewoon in de titel staat: "Malware saboteert WINDOWS computers bij Oekraïense energiebedrijven."
Mensen denken hierdoor dat malware een algemeen computerprobleem is en niet specifiek een windows probleem
Het schijnt alom gebruikelijk te zijn bij artikelen over malware alleen het OS te vermelden als het geen windows is.
07-01-2016, 08:49 door karma4
Door Anoniem: Waaruit maak jij op dat er kritieke infrastructuur getroffen is?

Nutsbedrijven worden beschouwd als zijnde "van strategisch belang" (vandaar de term "nut"sbedrijf), dus ook spionage bij een dergelijke (staats?)onderneming is een dreiging voor een overheid.
Geopolitieke belangen.

Dank je je hebt het punt. In de titel van het artikel staat energiebedrijven. Nergens staat er om welk onderdeel getroffen is. Het meest waarschijnlijke is de administratie en klantcontact. Dat is wat in nl de energie vrije markt is. De energie opwekking en distributie is een ander verhaal. Dat is meer nuts en vergeven van computers op een ander manier plc en meer van dat soort met alle monitoring. Dat is het echt kritische deel. Unix/linux en vaak lek.

We kunnen het nuts en kritisch noemen. Onze regering denkt daar anders over. Liberaal en commercieel is er uitverkoop gehouden. De netwerkbedrijven nemen aan dat ze voor top salarissen niet bij de overheid horen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.