Onderzoekers van het Slowaakse anti-virusbedrijf ESET hebben malware ontdekt die elektriciteitsnetwerken kan saboteren. Of de "Industroyer-malware" ooit bij zulke aanvallen is ingezet, is onbekend. Vorig jaar werden verschillende energiecentrales in de Oekraïne door een aanval getroffen.
Hierdoor zaten 225.000 mensen enkele uren zonder stroom. Het is echter onbevestigd of Industroyer hiervoor verantwoordelijk was. De malware kan echter behoorlijke schade aan elektriciteitsnetwerken veroorzaken, aldus de onderzoekers. Industroyer is namelijk in staat om de switches en stroomonderbrekers van de substations van elektriciteitsnetwerken te bedienen.
Hiervoor gebruikt de malware protocollen die, naast het gebruik binnen elektriciteitsnetwerken, ook in andere onderdelen van de vitale infrastructuur worden gebruikt. Zo kan de potentiële impact variëren van het uitzetten van de stroomverdeling tot een domino-effect waarbij er ernstige schade aan apparatuur wordt veroorzaakt. Verstoring van dergelijke systemen kan direct of indirect de werking van vitale diensten beïnvloeden.
Volgens ESET is Industroyer juist zo gevaarlijk omdat het protocollen op een manier gebruikt waarvoor ze ook ontwikkeld zijn. "Het probleem is dat deze protocollen decennia geleden zijn ontwikkeld, en toen waren industriële systemen geïsoleerd van de buitenwereld", zegt onderzoeker Anton Cherepanov. Hij merkt op dat de protocollen niet met veiligheid in het achterhoofd zijn ontwikkeld, wat inhoudt dat de aanvallers niet naar kwetsbaarheden hoeven te zoeken. De malware moet alleen via de protocollen kunnen communiceren.
Cherepanov stelt dat Industroyer zeer flexibele malware is en het voor het aanvallen van allerlei industriële controlesystemen te gebruiken is. Sommige onderdelen in de gevonden malware zijn voor specifieke hardware ontwikkeld. Zo werkt de wismodule alleen tegen systemen die van bepaalde producten van leverancier ABB gebruikmaken en is de DoS-module alleen voor Siemens SIPROTECT-apparaten ontwikkeld, die in elektrische substations worden gebruikt. Volgens ESET is het waarschijnlijk dat Industroyer bij de aanvallen op Oekraïense energiecentrales is gebruikt, mede omdat de malware een activatiedatum van 17 december 2016 bevat. Toch is dit zoals eerder gezegd nog niet bevestigd.
Deze posting is gelocked. Reageren is niet meer mogelijk.