image

Duitse kerncentrale besmet door Confickerworm

woensdag 27 april 2016, 10:32 door Redactie, 14 reacties

De Duitse kerncentrale die eerder deze week bekendmaakte dat het door virussen was geïnfecteerd, is getroffen door Conficker en Ramnit, twee bekende wormen die zich onder andere via usb-sticks verspreiden. Dat heeft een woordvoerder gisterenavond tegenover Zeit Online bevestigd.

Conficker is een worm die al sinds 2008 bestaat en zich verspreidt via een kwetsbaarheid in de Windows Server-service, gedeelde netwerkmappen en de Autorun-functie van Windows. Het beveiligingslek in de Windows Server-service werd op 23 oktober 2008 door Microsoft gepatcht. In januari 2009 begon Conficker zich ook via de Autorun-functie van Windows te verspreiden, iets waarvoor Microsoft in februari 2011 een update uitbracht.

Ramnit verscheen voor het eerst in 2010. De malware is ontwikkeld om wachtwoorden van allerlei diensten alsmede gegevens voor internetbankieren te stelen. Ook kan de worm .exe-, .dll- en .html-bestanden op harde schijven en aangesloten opslagapparaten infecteren. Eenmaal actief schakelt het allerlei beveiligingsmaatregelen in Windows uit, alsmede de aanwezige virusscanner. Om zich te verspreiden maakt Ramnit gebruik van usb-sticks.

De woordvoerder laat weten dat er 18 geïnfecteerde usb-sticks in de kerncentrale zijn aangetroffen. Hoe deze usb-sticks met de twee wormen besmet raakten en vervolgens de systemen van de kerncentrale konden besmetten moet nog worden uitgezocht. De aanwezigheid van de "kantoormalware" laat volgens de woordvoerder zien dat het hier niet om een gerichte aanval gaat. De kerncentrale stelde eerder al dat er geen gevaar voor de bevolking of het personeel is geweest, aangezien alle gevoelige onderdelen van de kerncentrale zijn losgekoppeld en niet met het internet verbonden zijn.

Reacties (14)
27-04-2016, 11:10 door Anoniem
kantoormalware...... geen gerichte aanval..... "please move along, nothing to see here"...

Hoe vaker mensen dat gaan roepen, hoe vaker ik ga twijfelen of er echt niets te zien is...

Duh...

#1 NSA en vriendjes (nu nog vriendjes, morgen misschien as van het kwaad, je weet dat nooit bij die gasten) gaan natuurlijk als het effe kan niet weer met 'signature' malware aan de slag... dat zou bad PR zijn in een situatie waar ze toch al op eieren moeten lopen dankzij snowden.

#2 Als het kantoor malware is, hoe komt het dat een virus uit 2008 nog steeds op USB sticks kan komen in een KERNCENTRALE ?!?!

Wat hebben die Duisters, eh, Duitsers de afgelopen 8 jaar gedaan met security op ICT gebied?
Schlafen?

En dit zijn fur Gottes sake, duitsers... Moet ik nu een geiger teller mee nemen elke keer als ik naar Antwerpen/Zeeland of Maastricht ga ? Want die Belgen schaal ik nog effe iets lager in dan de Duitsers op het gebied van grondigheid.
27-04-2016, 12:35 door Flashback956
De hiervoor verantwoordelijke zou in mijn ogen ontslagen moeten worden en nooit meer in de buurt van een computer mogen komen. Het is toch van de gekke dat een kerncentrale geïnfecteerd kan worden met malware!
27-04-2016, 12:40 door karma4
Mooi andere malware uit de kantoor hoek. Ik vind de stuxnet achtergrond veel interessanter. https://en.wikipedia.org/wiki/Stuxnet met wat https://nl.wikipedia.org/wiki/URENCO achtergrond. Zoals http://www.mtl-inst.com/images/uploads/AN-BYRES119.pdf voor wat (verkoop) security aspecten.
De laatste stap naar de SCADA PLC systemen is heel uitgebreid aan bod met alle analyses. De wijze van verspreiding en de impact/risico minder. Zo te zien kan iedereen kan thuis besmet raken zonder er last van te hebben. Ze worden verpreiders net zoals webservers ingezet worden.

Een airgap werkt alleen naar behoren als dat voor alle betrokken onderdelen gedurende de hele tijd geld. Even een "onderhoudsmonteur" met zijn laptop op het eigen network en het is weg....
Het is het managementsargument het is nu even goedkoper om ons niet aan onze principes/uitgangspunten te houden.

Waar gaat het over https://de.wikipedia.org/wiki/Kernkraftwerk_Gundremmingen Ohw uit 1976 gepland om uit te zetten in 2017. B en C lopen nog A wordt sinds 1983 gesloopt. Het zijn tijden waar een PC / Intel nog niet eens bestond.
Controlekamers zijn zeer waarschijnlijk nooit vervangen, het zou een jarenlange kostbaar proces zijn met alle onzekerheden dat het nooit meer lukt (kalkar). Dat er her en der wat apparatuur naast gezet is zoals dat ding uit 2008 (10 jaar terug) is logisch.

Wat men niet bevalt dat die malware ineens nu er zou zijn. Waren er eerder overeenkomstige controles of is dit de eerste keer? Heeft men het er ooit laten neerzetten en er verder nooit naar gekeken. Het zou zo maar kunnen.
Dat je kritische apparatuur niet aan internet/intranet moet hangen, ok uitschakelen die interfaces.. Maar waarom dan dat onderzoek en dat het wel aangesloten is.
27-04-2016, 22:13 door Anoniem
De kerncentrale stelde eerder al dat er geen gevaar voor de bevolking of het personeel is geweest, aangezien alle gevoelige onderdelen van de kerncentrale zijn losgekoppeld en niet met het internet verbonden zijn.

Zal die woordvoerder zelf enig idee hebben dat deze besmetting (weer) bewijst dat je niet veilig bent als je een systemen gebruikt die niet met het internet gekoppeld zijn? Niet 1 of 2, maar 18 besmette USB sticks door een behoorlijk gebrek aan besef van passende beveiliging. Kennelijk vond niemand het in dat bedrijf het echt belangrijk om te controleren op virussen omdat het toch niet aan het internet hangt. En ook niet leren uit het verleden natuurlijk. Of had daar echt nog niemand van Stuxnet gehoord? Wat een incapabel stel amateurs dat een kerncentrale zogenaamd veilig aan het houden is.
28-04-2016, 09:30 door Erik van Straten
Over het gebruik van Microsoft Windows in bedrijfskritische omgevingen (waaronder industriële/procesautomatisering) zie mijn reacties in https://www.security.nl/posting/468967/Computervirus+in+systeem+Duitse+kerncentrale+ontdekt#reload van 26-04-2016, 17:13 en vooral 28-04-2016, 09:17.
28-04-2016, 10:44 door Anoniem
Door Erik van Straten: Over het gebruik van Microsoft Windows in bedrijfskritische omgevingen (waaronder industriële/procesautomatisering) zie mijn reacties in https://www.security.nl/posting/468967/Computervirus+in+systeem+Duitse+kerncentrale+ontdekt#reload van 26-04-2016, 17:13 en vooral 28-04-2016, 09:17.

Gelukkig maar dat Microsoft verschillende versies van Windows levert, inclusief een versie specifiek bedoeld voor process-control/SCADA omgevingen.
28-04-2016, 13:02 door Anoniem
Ik herinner mij dat de licentievoorwaarden van Windows 3.x/95/98 en wellicht ook later verboden om het product te gebruiken voor industriële toepassingen, waaronder ziekenhuizen, kerncentrales.
28-04-2016, 15:51 door Vandy
Door Anoniem: Ik herinner mij dat de licentievoorwaarden van Windows 3.x/95/98 en wellicht ook later verboden om het product te gebruiken voor industriële toepassingen, waaronder ziekenhuizen, kerncentrales.
Dat betekent evenwel niet dat het in de praktijk niet "stiekem" toch gebeurt.
28-04-2016, 18:00 door Anoniem
Door Anoniem:Kennelijk vond niemand het in dat bedrijf het echt belangrijk om te controleren op virussen omdat het toch niet aan het internet hangt.

Klopt, zeker sinds StuxNet vind ik zo'n vorm van scheinveiligheid zacht gezegd kwaadmakend!
28-04-2016, 18:34 door Erik van Straten
28-04-2016, 10:44 door Anoniem:
Door Erik van Straten: Over het gebruik van Microsoft Windows in bedrijfskritische omgevingen (waaronder industriële/procesautomatisering) zie mijn reacties in https://www.security.nl/posting/468967/Computervirus+in+systeem+Duitse+kerncentrale+ontdekt#reload van 26-04-2016, 17:13 en vooral 28-04-2016, 09:17.

Gelukkig maar dat Microsoft verschillende versies van Windows levert, inclusief een versie specifiek bedoeld voor process-control/SCADA omgevingen.
Hè gelukkig! En die versies zijn, out-of-the-box, zo veilig dat ze geen updates nodig hebben en internetconnectiviteit dus niet nodig is!

(droom verder)
29-04-2016, 08:21 door Anoniem
Door Erik van Straten:
28-04-2016, 10:44 door Anoniem:
Door Erik van Straten: Over het gebruik van Microsoft Windows in bedrijfskritische omgevingen (waaronder industriële/procesautomatisering) zie mijn reacties in https://www.security.nl/posting/468967/Computervirus+in+systeem+Duitse+kerncentrale+ontdekt#reload van 26-04-2016, 17:13 en vooral 28-04-2016, 09:17.

Gelukkig maar dat Microsoft verschillende versies van Windows levert, inclusief een versie specifiek bedoeld voor process-control/SCADA omgevingen.
Hè gelukkig! En die versies zijn, out-of-the-box, zo veilig dat ze geen updates nodig hebben en internetconnectiviteit dus niet nodig is!
Om updates te krijgen, hoef je helemaal geen internet verbinding te hebben. Mogelijkheden genoeg zelfs met volledige Microsoft producten. Gewoon een goede architectuur neer zetten, en nadenken over je infra structuur. Zoals je met ieder OS moet doen. Anders heb je exact het zelfde issue.....

(droom verder)
Heerlijk gedaan.
01-05-2016, 10:56 door [Account Verwijderd]
[Verwijderd]
01-05-2016, 14:36 door karma4
Door Muria: De slaap van de rede brengt monsters voort...
Het is de actieve onredelijkheid waar we het meest last van hebben. Andere benamingen daarvoor zijn: terroristen, pedos.
Heb je je overigens in je onredelijkheid enigzins op de hoogte willen stellen van dit specfiek geval "gundremmingen" of ben je enkel uit op wat bashing.
Het IOT waar we nu mee te maken is op Linux gebaseerd, vreselijk veilig er zijn nooit berichten over hacks calling home en wat dies meers zij. Geloof je dat zelf of negeer je gewoon de werkelijkheid. (de grot van plato?). Als er iets onveilig is, is data het. De belangrijkste oorzaken: het mag niets kosten, moet er leuk zien en snel op de markt.
01-05-2016, 15:13 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.