Nieuws
image

Russisch lab beschuldigd van ontwikkeling industriële malware

woensdag 24 oktober 2018, 11:53 door Redactie, 5 reacties

Een laboratorium van de Russische overheid is verantwoordelijk voor de ontwikkeling van industriële malware die tegen een Petrochemische fabriek in Saudi-Arabië is ingezet, zo claimt het Amerikaanse securitybedrijf FireEye in een analyse. Het gaat om de Triton-malware die eind 2017 werd onthuld.

Vorig jaar wisten aanvallers via de Triton-malware toegang te krijgen tot een Triconex Safety Instrumented System (SIS) werkstation van de fabriek. SIS-systemen controleren de veiligheid van allerlei processen in een fabriek. Nadat de aanvallers toegang tot het systeem hadden gekregen besloten ze om de SIS-controllers te herprogrammeren. Daardoor raakten twee controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld.

Het werkelijke doel van de aanvallers was om een explosie te veroorzaken, zo lieten onderzoekers die de aanval onderzochten eerder dit jaar weten. FireEye zegt dat het sporen heeft gevonden die erop wijzen dat de malware is ontwikkeld door het Russische Central Scientific Research Institute of Chemistry and Mechanics (CNIIHM). Dit is een onderzoeksinstituut van de Russische overheid dat zich in Moskou bevindt.

Eén van de aanwijzingen voor betrokkenheid van het CNIIHM is de ontdekking van een omgeving die werd gebruikt om de malware te testen. Vier bestanden waarvan de malware gebruikmaakte werden in 2014 getest en aangepast om de detectie door anti-virussoftware te voorkomen. De laatste versies werden in 2017 getest en een week later bij de aanval tegen de fabriek ingezet. Verder werd in de malware een naam gevonden die naar een onderzoeker wees die ook hoogleraar bij het CNIIHM was.

Ook werd er een ip-adres van het CNIIHM gevonden dat bij de malware betrokken was, alsmede het verkennen van potentiële doelwitten. FireEye stelt dat via dit ip-adres ook berichtgeving over de Triton-malware werd gevolgd. Een ander spoor dat het securitybedrijf noemt is de tijdszone van de aanvallers. Het gaat dan bijvoorbeeld om de creatie van de malware en de tijden dat de aanvallers in het netwerk van hun doelwit actief waren. Deze tijden komen volgens FireEye overeen met het werkschema van iemand die zich in de tijdszone van Moskou bevindt.

FireEye geeft verder nog een andere verklaring voor de link tussen de Triton-malware en het Russische lab, namelijk dat medewerkers die zelf hebben ontwikkeld zonder dat hun werkgever hiervoor toestemming had gegeven. Dit scenario is volgens FireEye echter zeer onwaarschijnlijk. In juni publiceerde de Duitse overheid nog Snort-regels om fabrieken tegen de Triton-malware te beschermen.

Reacties (5)
24-10-2018, 13:22 door Power2All
Als dit waar is, zijn het een stelletje kneuzen daar in Rusland.
Altijd maar ontkennen, maar ondertussen wel zwaar gevaarlijke acties veroorzaken.
24-10-2018, 13:38 door Anoniem
Een tijdzone als bewijs opvoeren? Nooit van decoys gehoord? Wie heeft Stuxnet ook al weer gemaakt? En ja, ik snap dat de beschuldigende vinger naar Rusland gaat, maar je zult dit nooit kunnen bewijzen. Voor hetzelfde geld is het China. Of Liechtenstein. Of toch een verborgen agenda van de NSA... Het is echter vrij dom om in het openbaar een uitspraak te doen wie er achter zit zonder zeer solide bewijs. En dat zeer solide bewijs is nooit aanwezig.
24-10-2018, 16:54 door Anoniem
Door Anoniem: Een tijdzone als bewijs opvoeren? Nooit van decoys gehoord? Wie heeft Stuxnet ook al weer gemaakt? En ja, ik snap dat de beschuldigende vinger naar Rusland gaat, maar je zult dit nooit kunnen bewijzen. Voor hetzelfde geld is het China. Of Liechtenstein. Of toch een verborgen agenda van de NSA... Het is echter vrij dom om in het openbaar een uitspraak te doen wie er achter zit zonder zeer solide bewijs. En dat zeer solide bewijs is nooit aanwezig.
Ja, MH17 werd ook nooit door Rusland neergehaald. De Skrypals nooit met Russisch zenuwgas vergiftigd, en vlucht KAL007 werd nooit neergehaald door de Russische luchtmacht hoor.

Zo ken ik er nog wel een paar.
24-10-2018, 19:29 door Anoniem
Door Power2All: Als dit waar is, zijn het een stelletje kneuzen daar in Rusland.
Altijd maar ontkennen, maar ondertussen wel zwaar gevaarlijke acties veroorzaken.

Hier waren "we" in de koude oorlog verdomd trots op

https://www.telegraph.co.uk/news/worldnews/northamerica/usa/1455559/CIA-plot-led-to-huge-blast-in-Siberian-gas-pipeline.html
25-10-2018, 02:31 door Anoniem
Attribution is het grote probleem bij aanvallen. Je kunt niet 100% zeker zijn van de data totdat je een operator in real time aan het werk ziet.

Alles in code is aan te passen dus time-zones, namen, etc. zeggen niet zo veel. Indien de CNIIHM zelf gehackt is kun je makkelijk een ipadres misbruiken. De naar AV uploaded bestanden kunnen ook gedeeld zijn door USA met partners en dan beschikt men dus over een kopie. Daarom was die "criminele" AV tester natuurlijk ook snel vervolgd want dan konden overheden niet meer bij deze data komen.

Ja het lijkt Russisch maar dit hoeft niet zo te zijn. Dus de publicatie is nutteloos en puur PR voor het bedrijf en propaganda die Oost en West steeds verder op scherp zet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure