Industroyer-malware kan elektriciteitsnetwerk saboteren
Onderzoekers van het Slowaakse anti-virusbedrijf ESET hebben malware ontdekt die elektriciteitsnetwerken kan saboteren. Of de "Industroyer-malware" ooit bij zulke aanvallen is ingezet, is onbekend. Vorig jaar werden verschillende energiecentrales in de Oekraïne door een aanval getroffen.
Hierdoor zaten 225.000 mensen enkele uren zonder stroom. Het is echter onbevestigd of Industroyer hiervoor verantwoordelijk was. De malware kan echter behoorlijke schade aan elektriciteitsnetwerken veroorzaken, aldus de onderzoekers. Industroyer is namelijk in staat om de switches en stroomonderbrekers van de substations van elektriciteitsnetwerken te bedienen.
Hiervoor gebruikt de malware protocollen die, naast het gebruik binnen elektriciteitsnetwerken, ook in andere onderdelen van de vitale infrastructuur worden gebruikt. Zo kan de potentiële impact variëren van het uitzetten van de stroomverdeling tot een domino-effect waarbij er ernstige schade aan apparatuur wordt veroorzaakt. Verstoring van dergelijke systemen kan direct of indirect de werking van vitale diensten beïnvloeden.
Volgens ESET is Industroyer juist zo gevaarlijk omdat het protocollen op een manier gebruikt waarvoor ze ook ontwikkeld zijn. "Het probleem is dat deze protocollen decennia geleden zijn ontwikkeld, en toen waren industriële systemen geïsoleerd van de buitenwereld", zegt onderzoeker Anton Cherepanov. Hij merkt op dat de protocollen niet met veiligheid in het achterhoofd zijn ontwikkeld, wat inhoudt dat de aanvallers niet naar kwetsbaarheden hoeven te zoeken. De malware moet alleen via de protocollen kunnen communiceren.
Cherepanov stelt dat Industroyer zeer flexibele malware is en het voor het aanvallen van allerlei industriële controlesystemen te gebruiken is. Sommige onderdelen in de gevonden malware zijn voor specifieke hardware ontwikkeld. Zo werkt de wismodule alleen tegen systemen die van bepaalde producten van leverancier ABB gebruikmaken en is de DoS-module alleen voor Siemens SIPROTECT-apparaten ontwikkeld, die in elektrische substations worden gebruikt. Volgens ESET is het waarschijnlijk dat Industroyer bij de aanvallen op Oekraïense energiecentrales is gebruikt, mede omdat de malware een activatiedatum van 17 december 2016 bevat. Toch is dit zoals eerder gezegd nog niet bevestigd.
Met als direct gevolg dat we kolencentrales moeten bijbouwen omdat de vermogens opgewekt door windmolens en zonnepanelen niet effectief door het netwerk te leiden zijn...
Nu al te laat, wie zet nou zijn electriciteitscentrale online op windows ?
Die amerikaanse software producten zijn niet te vertrouwen.
Met als direct gevolg dat we kolencentrales moeten bijbouwen omdat de vermogens opgewekt door windmolens en zonnepanelen niet effectief door het netwerk te leiden zijn...
Stel je voor dat het een kerncentrale is...
Nu al te laat, wie zet nou zijn electriciteitscentrale online op windows ?
Die amerikaanse software producten zijn niet te vertrouwen.
Welk OS zou je dan willen draaien?
Stel je voor dat het een kerncentrale is...
Bedenk dat die systemen vaak niet direct aangesloten zijn op het internet, maar wel aan een intern netwerk hangen waar onvoldoende segmentering is toegepast. Zo kan een besmet werkstation van een beheerder uiteindelijk toch zo'n ding besmetten of besturen. Al staat er alleen maar een poortje 80 open op dat ding waar die ene werkstation bij kan. Boem!
Stel je voor dat het een kerncentrale is...
Coming near a smart meter near you. Spanning op twee kanten!!!!
Hang alles aan het Inernet. Na stuxnet weten we toch beter. Neen, dus toch niet.
Steeds weer - Als het kalf verdronken is, dempt men de put.
Coming near a smart meter near you. Spanning op twee kanten!!!!
Hang alles aan het Inernet. Na stuxnet weten we toch beter. Neen, dus toch niet.
Steeds weer - Als het kalf verdronken is, dempt men de put.
Skynet, coming soon.
Coming near a smart meter near you. Spanning op twee kanten!!!!
Hang alles aan het Inernet. Na stuxnet weten we toch beter. Neen, dus toch niet.
Steeds weer - Als het kalf verdronken is, dempt men de put.
Je verdraaid de feiten. Stuxnet werd verspreid via USB-sticks.
Met als direct gevolg dat we kolencentrales moeten bijbouwen omdat de vermogens opgewekt door windmolens en zonnepanelen niet effectief door het netwerk te leiden zijn...
Probleem daarbij is alleen dat, in tegenstelling tot wat de waterstofhype stelt, waterstof helemaal niet groen is...
http://www.salon.com/2017/06/11/dont-believe-the-hydrogen-hype-hydrogen-energy-is-not-green/
Coming near a smart meter near you. Spanning op twee kanten!!!!
Hang alles aan het Inernet. Na stuxnet weten we toch beter. Neen, dus toch niet.
Steeds weer - Als het kalf verdronken is, dempt men de put.
Je verdraaid de feiten. Stuxnet werd verspreid via USB-sticks.
Dezelfde apparatuur als voor het echte werk werd voor privé belangstelling gebruikt.
De aan te vallen apparatuur was op een presenteerblaadje vanuit uren (nl) via Pakistan geleverd met Siemens spul voor de specifieke regeling. Wat en hoe de gelekte techniek ontregeld moest worden was bekend.
Hierna is de fase van verspreiding / installatie. Hier gaat de malware op zoek naar datgene waar het voor ontworpen is. In dit geval specifieke IOT apparatuur.
Dan volgt de fase van activatie / executie. Nu de malware gevonden heeft waar het naar op zoek was, gaat het aan de slag.
En bedenk hierbij dat het niet direct van het Internet hoeft te komen. Het kan ook via via verspreiden. En zelfs over maanden heen. Vaak bevatten systemen malware die niet voor dat systeem actief zijn. Denk aan Java gerelateerde malware op een niet Java ondersteunend systeem. Echter zal deze malware zich verspreiden en dan ook wel een systeem tegenkomen met Java....
Natuurlijk maakt het OS wel uit - het activeren van code vanaf de drager gaat niet vanzelf .
Daar is een OS en applicatie, en eventueel een gebruiker voor nodig .
Een OS en applicatie stack waarop het activeren lastig is maakt wel verschil .
Het auto-activeren van code (auto-run) vanaf CD/USB dat Microsoft deed was hier een heel slechte keuze .
Net als het default uitvoeren van code (script/macro code) in documenten - (MS Office) , gecombineerd met een gebruiksmodel waarin de hoofdgebruiker standaard met veel rechten werkt.
Linux is hier misschien niet perfect in, maar wel significant beter dan Microsoft .
Hierna is de fase van verspreiding / installatie. Hier gaat de malware op zoek naar datgene waar het voor ontworpen is. In dit geval specifieke IOT apparatuur.
Dan volgt de fase van activatie / executie. Nu de malware gevonden heeft waar het naar op zoek was, gaat het aan de slag.
En bedenk hierbij dat het niet direct van het Internet hoeft te komen. Het kan ook via via verspreiden. En zelfs over maanden heen. Vaak bevatten systemen malware die niet voor dat systeem actief zijn. Denk aan Java gerelateerde malware op een niet Java ondersteunend systeem. Echter zal deze malware zich verspreiden en dan ook wel een systeem tegenkomen met Java....
Java gerelateerde malware die kan blijven verspreiden is nog steeds "actieve malware" - (actieve dropper, of wat dan ook ) .het verspreiden gebeurt niet als er geen stuk code draait .
Natuurlijk maakt het OS wel uit - het activeren van code vanaf de drager gaat niet vanzelf .
Daar is een OS en applicatie, en eventueel een gebruiker voor nodig .
Een OS en applicatie stack waarop het activeren lastig is maakt wel verschil .
....
Linux is hier misschien niet perfect in, maar wel significant beter dan Microsoft .
Denk alleen maar aan al die malware via gehackte Websites.
Het blijft een spanningsveld om onkundige ict mensen als gebruikers vanzelfsprekend met ict om te laten gaan.
De grap met stuxnet was dat de Siemens scads systemen het doelwit waren met specifiek ultracentrifuge gebruik. Heel gericht en Windows was net als linux of wat dan ook enkel een tussenstation.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
