image

Malware voor mogelijke oefenaanval op elektriciteitsnet ontdekt

vrijdag 26 mei 2023, 08:25 door Redactie, 13 reacties

Onderzoekers hebben malware ontdekt die mogelijk is ontwikkeld voor het uitvoeren van oefenaanvallen op het elektriciteitsnet Dat meldt securitybedrijf Mandiant. De malware, die CosmicEnergy wordt genoemd, is niet bij daadwerkelijke aanvallen of op het netwerk van energiebedrijven aangetroffen, maar werd anderhalf jaar geleden geüpload naar een niet nader genoemde online virusscantool.

Mandiant, dat onderdeel van Google is, vermoedt dat de malware is ontwikkeld voor red teaming-oefeningen, waarbij aanvallen worden uitgevoerd om de veiligheid van systemen en netwerk te testen. CosmicEnergy heeft overeenkomsten met malware zoals Industroyer die daadwerkelijk tegen energiesystemen is ingezet. De overeenkomsten willen niet zeggen dat CosmicEnergy door dezelfde mensen ontwikkeld is die ook achter Industroyer zaten, aldus Mandiant.

Wel is de malware ontwikkeld om voor stroomstoringen te zorgen, door commando's uit te voeren op IEC 60870-5-104 (IEC-104) systemen die binnen de energievoorziening worden gebruikt. Het ontdekte CosmicEnergy-exemplaar is niet in staat om zelf aan te vallen systemen te ontdekken. Een aanvaller zou dan ook eerst informatie over deze systemen moeten verzamelen, zoals ip-adressen en MSSQL-inloggegevens.

In de code van CosmicEnergy werd een naam aangetroffen van een bedrijf dat een subsidie van de Russische overheid kreeg voor het uitvoeren van noodoefeningen met stroomuitval, laat Mandiant verder weten. Dat wil niet zeggen dat dit bedrijf achter de malware zit. Mandiant heeft naar eigen zeggen onvoldoende bewijs om de herkomst of het doel van de malware te bepalen.

"We denken dat de malware mogelijk is ontwikkeld door Rostelecom-Solar of een gelieerde partij voor het nabootsen van echte aanvalsscenario's tegen onderdelen van het elektriciteitsnetwerk. Het is mogelijk dat de malware is gebruikt bij oefeningen zoals degene die Rostelecom-Solar in 2021 organiseerde", zegt Ken Proska van Mandiant.

Image

Reacties (13)
26-05-2023, 10:53 door Anoniem
Ja hoor MSSQL. Verbiedt windows systemen in kritieke sectoren! of je gaat de bietenbrug op.
26-05-2023, 14:41 door Anoniem
Door Anoniem: Ja hoor MSSQL. Verbiedt windows systemen in kritieke sectoren! of je gaat de bietenbrug op.

Zou je mij als leek kunnen vertellen waarom MSSQL 'fout' is, een 'beter' alternatief kunnen noemen, en waarom deze beter is dan MSSQL?
26-05-2023, 15:08 door Anoniem
Door Anoniem: Ja hoor MSSQL. Verbiedt windows systemen in kritieke sectoren! of je gaat de bietenbrug op.
MSSQL is wat anders dan Windows... Windows is een OS en MSSQL is database oplossing. MSSQL kan je ook op andere OSen dan Windows installeren.
26-05-2023, 15:52 door Anoniem
Door Anoniem: Ja hoor MSSQL. Verbiedt windows systemen in kritieke sectoren! of je gaat de bietenbrug op.

je hebt geen idee waar je het over hebt
26-05-2023, 16:14 door _R0N_
Door Anoniem: Ja hoor MSSQL. Verbiedt windows systemen in kritieke sectoren! of je gaat de bietenbrug op.

MSSQL draait ook op Linux.
Het gaat niet om het gebruikte OS maar de gebruikte beheerder.

Mensen die denken dat standaard Linux beter is dan Windows vallen daardoor ook direct door de mand.
26-05-2023, 17:38 door Anoniem
Door _R0N_:
Door Anoniem: Ja hoor MSSQL. Verbiedt windows systemen in kritieke sectoren! of je gaat de bietenbrug op.

MSSQL draait ook op Linux.
Het gaat niet om het gebruikte OS maar de gebruikte beheerder.

Mensen die denken dat standaard Linux beter is dan Windows vallen daardoor ook direct door de mand.
Die vallen zeker niet door de mand. Met een vergiet kan je niet varen, ook al heb je de beste stuurlui aan boord.
Je bent inderdaad van de pot gerukt als je windows gaat gebruiken voor kritieke systemen. Dat moet je hier op security.nl toch opgevallen zijn. Zie hier de geinfecteerde windows share: https://www.statista.com/statistics/701020/major-operating-systems-targeted-by-ransomware/
26-05-2023, 17:44 door Anoniem
Door Anoniem:
Door Anoniem: Ja hoor MSSQL. Verbiedt windows systemen in kritieke sectoren! of je gaat de bietenbrug op.
MSSQL is wat anders dan Windows... Windows is een OS en MSSQL is database oplossing. MSSQL kan je ook op andere OSen dan Windows installeren.
MSSQL is op zich een goede database (omdat het niet is ontwikkeld door MS maar door Sybase) Het vervelende van Microsoft producten is dat je ook gelijk vast zit aan de rest zoals AD en dus Windows. https://www.postgresql.org/is het beste alternatief en nog gratis ook met een vrije licentie waardoor je het overal mag inbouwen.
26-05-2023, 21:53 door Anoniem
Is er al een Yara rule voor deze malware of een Munin analyse gedaan?

luntrus
26-05-2023, 22:06 door Anoniem
Uit de analyse blijkt dat er een specifieke phishing campagne aan vooraf moet hebben gegaan.

Het op tijd gewaar worden aangaande de initiële activiteiten voor dit soort van worm-infecties is belangrijk om dergelijke disruptieve malware te voorkomen.
28-05-2023, 20:04 door Anoniem
Degenen die denken dat Linux zo veilig is: su problematiek is best een dingetje, en Secure Linux kom ik verdacht weinig tegen omdat dat voor software ontwikkelaars kennelijk een bruggetje te lastig is. Flink gehardened Windows is helaas vaak effectiever.
30-05-2023, 08:12 door Bitje-scheef
Door Anoniem: Degenen die denken dat Linux zo veilig is: su problematiek is best een dingetje, en Secure Linux kom ik verdacht weinig tegen omdat dat voor software ontwikkelaars kennelijk een bruggetje te lastig is. Flink gehardened Windows is helaas vaak effectiever.

Effectiever in wat ?
30-05-2023, 09:58 door Anoniem
Door Bitje-scheef:
Door Anoniem: Degenen die denken dat Linux zo veilig is: su problematiek is best een dingetje, en Secure Linux kom ik verdacht weinig tegen omdat dat voor software ontwikkelaars kennelijk een bruggetje te lastig is. Flink gehardened Windows is helaas vaak effectiever.

Effectiever in wat ?
SU is geen problematiek maar een feature omdat het een echt multiuser systeem is i.t.t. een bekend ander OS.
30-05-2023, 09:59 door Anoniem
Door Bitje-scheef:
Door Anoniem: Degenen die denken dat Linux zo veilig is: su problematiek is best een dingetje, en Secure Linux kom ik verdacht weinig tegen omdat dat voor software ontwikkelaars kennelijk een bruggetje te lastig is. Flink gehardened Windows is helaas vaak effectiever.

Effectiever in wat ?
Het support alle bekende ransomware.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.