image

Oekraïense energiebedrijven opnieuw doelwit malware

donderdag 21 januari 2016, 10:32 door Redactie, 3 reacties

Energiebedrijven in de Oekraïne zijn opnieuw het doelwit van malware geworden, maar het was niet dezelfde malware die eind vorig jaar toesloeg. Eind december raakten systemen van verschillende energiebedrijven met de BlackEnergy-malware besmet.

Uiteindelijk wisten de aanvallers achter deze eerste aanvallen in bepaalde gebieden de stroomvoorziening te verstoren, waardoor 80.000 mensen enkele uren zonder stroom kwamen te zitten. Net als bij de aanvallen in december gebruikten de afgelopen dinsdag waargenomen aanvallen een Excel-bestand dat via e-mail werd verstuurd. Dit Excel-bestand bevat een kwaadaardige macro die gebruikers eerst moeten inschakelen. Als gebruikers dit doen, wordt de malware op het systeem gedownload.

Macro's

Macrovirussen bestaan sinds het midden van de jaren ’90. Microsoft wijzigde hierop de standaardinstellingen van Office, zodat macro's standaard niet meer worden toegestaan. Middels social engineering proberen aanvallers gebruikers zover te krijgen dat ze de macro's toch inschakelen en zo hun eigen systeem infecteren. In het geval van de aanvallen op de Oekrainese energiebedrijven laat het document weten dat het in een nieuwere versie van Microsoft Office is gemaakt en macro's moeten worden ingeschakeld om de inhoud van het document weer te geven.

Het Oekraïense Computer Emergency Response Team (CERT-UA) waarschuwde vorig jaar al op de eigen website voor het gevaar van macro's en heeft opnieuw een waarschuwing voor de nu gebruikte Excel-documenten afgegeven. In het geval gebruikers de macro's inschakelen wordt er een Trojan-downloader gestart, die vervolgens een backdoor op de computer plaatst waarmee de aanvallers volledige controle over het systeem krijgen.

Het Slowaakse anti-virusbedrijf ESET onderzocht de aanval. Onderzoekers hadden verwacht dat de Trojan-downloader wederom de BlackEnergy-malware zou downloaden, maar het bleek om een opensourcebackdoor genaamd GCat te gaan. ESET zegt geen informatie te hebben over wie erachter de aanvallen zitten en adviseert voorzichtig te zijn met het beschuldigen van landen.

Image

Reacties (3)
21-01-2016, 14:50 door Anoniem
Als de stroomvoorziening verstoord wordt door malware uit een office document dat over de mail komt, dan heb ik toch het idee dat er onvoldoende scheiding is aangebracht tussen kantoorautomatisering en productie-omgeving?
21-01-2016, 16:13 door Anoniem
En natuurlijk horen we hiervan omdat de propaganda machine van Amerika versus Rusland op overtoeren draait.
Van alle andere toko's tussen hier en Kiev hoor je geen drol...

Bah.
Ik had gehoopt dat propaganda niet verder zou komen dan de NOS staats-televisie.
Als je dan toch al propaganda verspreidt, doe het dan zo vermaekelijk als Berlusconi's zenders... mooie vrouwen, groot decolete enz.
21-01-2016, 19:41 door karma4
https://www.security.nl/posting/457107/Sabotage+Oekra%C3%AFense+energiebedrijven+niet+alleen+door+malware
Dacht je dat het een vervolg op een interessante ontwikkeling zou worden. Gaat het artikel terug in kwaliteit en actualiteit.
Wordt er eerst serieus naar gekeken lijkt het nu de kant op the gaan van een clickbait. Op zich weinig zeggend nieuws.
De scada's en office zijn gezien eerdere berichten gewoon gescheiden. Waarom dan op die andere zaak doorgaan.
Er zal best ergens stof in huis liggen, dat heeft niets te maken met de brandstof afhandeling in de auto als ik rijd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.