image

Industroyer-malware kan elektriciteitsnetwerk saboteren

maandag 12 juni 2017, 15:23 door Redactie, 20 reacties

Onderzoekers van het Slowaakse anti-virusbedrijf ESET hebben malware ontdekt die elektriciteitsnetwerken kan saboteren. Of de "Industroyer-malware" ooit bij zulke aanvallen is ingezet, is onbekend. Vorig jaar werden verschillende energiecentrales in de Oekraïne door een aanval getroffen.

Hierdoor zaten 225.000 mensen enkele uren zonder stroom. Het is echter onbevestigd of Industroyer hiervoor verantwoordelijk was. De malware kan echter behoorlijke schade aan elektriciteitsnetwerken veroorzaken, aldus de onderzoekers. Industroyer is namelijk in staat om de switches en stroomonderbrekers van de substations van elektriciteitsnetwerken te bedienen.

Hiervoor gebruikt de malware protocollen die, naast het gebruik binnen elektriciteitsnetwerken, ook in andere onderdelen van de vitale infrastructuur worden gebruikt. Zo kan de potentiële impact variëren van het uitzetten van de stroomverdeling tot een domino-effect waarbij er ernstige schade aan apparatuur wordt veroorzaakt. Verstoring van dergelijke systemen kan direct of indirect de werking van vitale diensten beïnvloeden.

Volgens ESET is Industroyer juist zo gevaarlijk omdat het protocollen op een manier gebruikt waarvoor ze ook ontwikkeld zijn. "Het probleem is dat deze protocollen decennia geleden zijn ontwikkeld, en toen waren industriële systemen geïsoleerd van de buitenwereld", zegt onderzoeker Anton Cherepanov. Hij merkt op dat de protocollen niet met veiligheid in het achterhoofd zijn ontwikkeld, wat inhoudt dat de aanvallers niet naar kwetsbaarheden hoeven te zoeken. De malware moet alleen via de protocollen kunnen communiceren.

Cherepanov stelt dat Industroyer zeer flexibele malware is en het voor het aanvallen van allerlei industriële controlesystemen te gebruiken is. Sommige onderdelen in de gevonden malware zijn voor specifieke hardware ontwikkeld. Zo werkt de wismodule alleen tegen systemen die van bepaalde producten van leverancier ABB gebruikmaken en is de DoS-module alleen voor Siemens SIPROTECT-apparaten ontwikkeld, die in elektrische substations worden gebruikt. Volgens ESET is het waarschijnlijk dat Industroyer bij de aanvallen op Oekraïense energiecentrales is gebruikt, mede omdat de malware een activatiedatum van 17 december 2016 bevat. Toch is dit zoals eerder gezegd nog niet bevestigd.

Image

Reacties (20)
12-06-2017, 15:30 door Anoniem
Gewoon een captcha bijzetten... ;>)
12-06-2017, 16:07 door Anoniem
Door Anoniem: Gewoon een captcha bijzetten... ;>)
nee, die zijn Enorm irritant 35.5%
12-06-2017, 16:07 door Anoniem
Terug naar analoge systemen (van voor de IBM PC). Geen smart-grid dan maar, jammer.
12-06-2017, 16:23 door PietdeVries
Door Anoniem: Terug naar analoge systemen (van voor de IBM PC). Geen smart-grid dan maar, jammer.

Met als direct gevolg dat we kolencentrales moeten bijbouwen omdat de vermogens opgewekt door windmolens en zonnepanelen niet effectief door het netwerk te leiden zijn...
12-06-2017, 16:27 door Anoniem
Super hier zaten de zilverfolie-hoedjes op te wachten om te bewijzen dat ze NIET gek zijn.
Nu al te laat, wie zet nou zijn electriciteitscentrale online op windows ?
Die amerikaanse software producten zijn niet te vertrouwen.
12-06-2017, 16:34 door Anoniem
@CyberSquirrel1 >:-)
12-06-2017, 16:35 door Anoniem
Door PietdeVries:
Door Anoniem: Terug naar analoge systemen (van voor de IBM PC). Geen smart-grid dan maar, jammer.

Met als direct gevolg dat we kolencentrales moeten bijbouwen omdat de vermogens opgewekt door windmolens en zonnepanelen niet effectief door het netwerk te leiden zijn...
Dan bouw je zuiniger apparaten en laat je windmolens energie in waterstof omzetten (accu's zijn namelijk slecht voor het milieu (niet te recyclen) en niet duurzaam vanwege zeldzame metalen).
12-06-2017, 16:46 door Anoniem
waarom zitten dit soort redelijk critische dingen uberhaubt op internet aangesloten?
Stel je voor dat het een kerncentrale is...
12-06-2017, 17:57 door Anoniem
Door Anoniem: Super hier zaten de zilverfolie-hoedjes op te wachten om te bewijzen dat ze NIET gek zijn.
Nu al te laat, wie zet nou zijn electriciteitscentrale online op windows ?
Die amerikaanse software producten zijn niet te vertrouwen.

Welk OS zou je dan willen draaien?
12-06-2017, 19:30 door johanw
Door Anoniem:Nu al te laat, wie zet nou zijn electriciteitscentrale online op windows ?
De hardware draait veelal op Siemens Scada, en vergeleken daarbij is Windows95 nog zwaar beveiligd.
12-06-2017, 19:52 door Anoniem
Door Anoniem: waarom zitten dit soort redelijk critische dingen uberhaubt op internet aangesloten?
Stel je voor dat het een kerncentrale is...

Bedenk dat die systemen vaak niet direct aangesloten zijn op het internet, maar wel aan een intern netwerk hangen waar onvoldoende segmentering is toegepast. Zo kan een besmet werkstation van een beheerder uiteindelijk toch zo'n ding besmetten of besturen. Al staat er alleen maar een poortje 80 open op dat ding waar die ene werkstation bij kan. Boem!
12-06-2017, 23:40 door Anoniem
Door Anoniem: waarom zitten dit soort redelijk critische dingen uberhaubt op internet aangesloten?
Stel je voor dat het een kerncentrale is...
Onze Iraanse en Israelische vrienden weten hier alles van
13-06-2017, 00:06 door Anoniem
Ja, Microsoft infrastructure everywhere. Safe en secure for dummies.
Coming near a smart meter near you. Spanning op twee kanten!!!!

Hang alles aan het Inernet. Na stuxnet weten we toch beter. Neen, dus toch niet.

Steeds weer - Als het kalf verdronken is, dempt men de put.
13-06-2017, 08:45 door Anoniem
Door Anoniem: Ja, Microsoft infrastructure everywhere. Safe en secure for dummies.
Coming near a smart meter near you. Spanning op twee kanten!!!!

Hang alles aan het Inernet. Na stuxnet weten we toch beter. Neen, dus toch niet.

Steeds weer - Als het kalf verdronken is, dempt men de put.

Skynet, coming soon.
13-06-2017, 08:51 door Anoniem
Door Anoniem: Ja, Microsoft infrastructure everywhere. Safe en secure for dummies.
Coming near a smart meter near you. Spanning op twee kanten!!!!

Hang alles aan het Inernet. Na stuxnet weten we toch beter. Neen, dus toch niet.

Steeds weer - Als het kalf verdronken is, dempt men de put.

Je verdraaid de feiten. Stuxnet werd verspreid via USB-sticks.
13-06-2017, 09:15 door Anoniem
Door Anoniem:
Door PietdeVries:
Door Anoniem: Terug naar analoge systemen (van voor de IBM PC). Geen smart-grid dan maar, jammer.

Met als direct gevolg dat we kolencentrales moeten bijbouwen omdat de vermogens opgewekt door windmolens en zonnepanelen niet effectief door het netwerk te leiden zijn...
Dan bouw je zuiniger apparaten en laat je windmolens energie in waterstof omzetten (accu's zijn namelijk slecht voor het milieu (niet te recyclen) en niet duurzaam vanwege zeldzame metalen).

Probleem daarbij is alleen dat, in tegenstelling tot wat de waterstofhype stelt, waterstof helemaal niet groen is...

http://www.salon.com/2017/06/11/dont-believe-the-hydrogen-hype-hydrogen-energy-is-not-green/
13-06-2017, 10:16 door karma4
Door Anoniem:
Door Anoniem: Ja, Microsoft infrastructure everywhere. Safe en secure for dummies.
Coming near a smart meter near you. Spanning op twee kanten!!!!

Hang alles aan het Inernet. Na stuxnet weten we toch beter. Neen, dus toch niet.

Steeds weer - Als het kalf verdronken is, dempt men de put.

Je verdraaid de feiten. Stuxnet werd verspreid via USB-sticks.
Kun je nog aan toevoegen dat er via gehackte linux webserver nodig was om via social engineering intern binnen te komen.
Dezelfde apparatuur als voor het echte werk werd voor privé belangstelling gebruikt.
De aan te vallen apparatuur was op een presenteerblaadje vanuit uren (nl) via Pakistan geleverd met Siemens spul voor de specifieke regeling. Wat en hoe de gelekte techniek ontregeld moest worden was bekend.
13-06-2017, 10:17 door Anoniem
Voor alle anti-MS vrienden hier: Malware kent verschillende fases waar het opereert. Allereerst het verspreiden. Dit gebeurd via een drager. Dit kan een mail, browser actie, usd drive etc zijn. Het maakt hier helemaal niets uit welk OS je gebruikt.

Hierna is de fase van verspreiding / installatie. Hier gaat de malware op zoek naar datgene waar het voor ontworpen is. In dit geval specifieke IOT apparatuur.

Dan volgt de fase van activatie / executie. Nu de malware gevonden heeft waar het naar op zoek was, gaat het aan de slag.

En bedenk hierbij dat het niet direct van het Internet hoeft te komen. Het kan ook via via verspreiden. En zelfs over maanden heen. Vaak bevatten systemen malware die niet voor dat systeem actief zijn. Denk aan Java gerelateerde malware op een niet Java ondersteunend systeem. Echter zal deze malware zich verspreiden en dan ook wel een systeem tegenkomen met Java....
13-06-2017, 13:58 door Anoniem
Door Anoniem: Voor alle anti-MS vrienden hier: Malware kent verschillende fases waar het opereert. Allereerst het verspreiden. Dit gebeurd via een drager. Dit kan een mail, browser actie, usd drive etc zijn. Het maakt hier helemaal niets uit welk OS je gebruikt.

Natuurlijk maakt het OS wel uit - het activeren van code vanaf de drager gaat niet vanzelf .
Daar is een OS en applicatie, en eventueel een gebruiker voor nodig .

Een OS en applicatie stack waarop het activeren lastig is maakt wel verschil .

Het auto-activeren van code (auto-run) vanaf CD/USB dat Microsoft deed was hier een heel slechte keuze .
Net als het default uitvoeren van code (script/macro code) in documenten - (MS Office) , gecombineerd met een gebruiksmodel waarin de hoofdgebruiker standaard met veel rechten werkt.

Linux is hier misschien niet perfect in, maar wel significant beter dan Microsoft .


Hierna is de fase van verspreiding / installatie. Hier gaat de malware op zoek naar datgene waar het voor ontworpen is. In dit geval specifieke IOT apparatuur.

Dan volgt de fase van activatie / executie. Nu de malware gevonden heeft waar het naar op zoek was, gaat het aan de slag.

En bedenk hierbij dat het niet direct van het Internet hoeft te komen. Het kan ook via via verspreiden. En zelfs over maanden heen. Vaak bevatten systemen malware die niet voor dat systeem actief zijn. Denk aan Java gerelateerde malware op een niet Java ondersteunend systeem. Echter zal deze malware zich verspreiden en dan ook wel een systeem tegenkomen met Java....

Java gerelateerde malware die kan blijven verspreiden is nog steeds "actieve malware" - (actieve dropper, of wat dan ook ) .het verspreiden gebeurt niet als er geen stuk code draait .
14-06-2017, 18:53 door karma4 - Bijgewerkt: 14-06-2017, 18:58
Door Anoniem:
Door Anoniem: Voor alle anti-MS vrienden hier: Malware kent verschillende fases waar het opereert. Allereerst het verspreiden. Dit gebeurd via een drager. Dit kan een mail, browser actie, usd drive etc zijn. Het maakt hier helemaal niets uit welk OS je gebruikt.

Natuurlijk maakt het OS wel uit - het activeren van code vanaf de drager gaat niet vanzelf .
Daar is een OS en applicatie, en eventueel een gebruiker voor nodig .

Een OS en applicatie stack waarop het activeren lastig is maakt wel verschil .

....
Linux is hier misschien niet perfect in, maar wel significant beter dan Microsoft .
Als je bedoelt dat linux gebruikt wordt als de grootste bron van aanvallende malware heb je absoluut gelijk. Volgens de regels in stuxnet was dat een belangrijke tussenstap.

Denk alleen maar aan al die malware via gehackte Websites.
Het blijft een spanningsveld om onkundige ict mensen als gebruikers vanzelfsprekend met ict om te laten gaan.

De grap met stuxnet was dat de Siemens scads systemen het doelwit waren met specifiek ultracentrifuge gebruik. Heel gericht en Windows was net als linux of wat dan ook enkel een tussenstation.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.