'Stroomstoring in Oekraïne werd veroorzaakt door gerichte inzet malware'

De stroomstoringen die kort voor kerst plaatsvonden in Oekraïne blijken volgens beveiligingsbedrijf ESET te wijten aan de gerichte inzet van BlackEnergy-malware. Door de aanvallen kwamen ongeveer 700.000 mensen een paar uur zonder stroom te zitten.

ESET meldt verder dat de BlackEnergy-malware al langer bestaat en dat het gaat om een modulair programma. Dit houdt in dat de malware is opgebouwd uit verschillende componenten die allemaal een eigen taak uitvoeren. In de aanvallen tegen de energiecentrales werd gebruikgemaakt van een module met de naam 'KillDisk', die in staat is bestanden te overschrijven. Daardoor kunnen computers niet meer gestart worden en wordt ook het repareren van de schade bemoeilijkt, aldus het bedrijf.

De versie van KillDisk die in de aanvallen werd ingezet was volgens een beveiligingsonderzoeker van ESET geoptimaliseerd voor de inzet bij industriële systemen. Ook werd onlangs bekend dat de BlackEnergy-malware een ssh-backdoor bevat, waarmee een aanvaller zich toegang kan verschaffen tot een geïnfecteerd systeem en dat systeem kan uitschakelen. De KillDisk-module zou dan alleen het herstelwerk bemoeilijken. Volgens ESET waren tijdens de stroomstoring verscheidene energiecentrales tegelijk doelwit van aanvallen.

Oekraïense media- en energiebedrijven zouden al langer worden belaagd door hackers. De infectie zou hebben plaatsgevonden via een gerichte phishingcampagne waarbij geïnfecteerde Micosoft Office-bestanden worden verstuurd die de BlackEnergy-malware via een kwaadaardige macro verspreiden. Tot nu toe was het niet duidelijk of de stroomstoringen veroorzaakt werden door deze vorm van malware, maar de recentste mededeling van ESET lijkt dat te bevestigen.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 05-01-2016 16:44
40 • submitter: kwakzalver

05-01-2016 • 16:44

40

Submitter: kwakzalver

Lees meer

'Tot nu toe verborgen gebleven hackergroep richt zich op energiesector Oekraïne'
'Tot nu toe verborgen gebleven hackergroep richt zich op energiesector Oekraïne' Nieuws van 17 oktober 2018
'Duits NCSC waarschuwt voor Europese stroomuitval door aanval energiecentrales'
'Duits NCSC waarschuwt voor Europese stroomuitval door aanval energiecentrales' Nieuws van 24 augustus 2018
Duitsland waarschuwt voor voorbereidende internetaanvallen op energiebedrijven
Duitsland waarschuwt voor voorbereidende internetaanvallen op energiebedrijven Nieuws van 14 juni 2018
'NAVO voorziet Oekraïne van apparatuur om internetaanvallen af te slaan'
'NAVO voorziet Oekraïne van apparatuur om internetaanvallen af te slaan' Nieuws van 10 juli 2017
Beveiligingsbedrijf ziet link tussen NotPetya en eerdere aanvallen in Oekraïne
Beveiligingsbedrijf ziet link tussen NotPetya en eerdere aanvallen in Oekraïne Nieuws van 30 juni 2017
Grote ransomwareaanval treft organisaties meerdere landen - update
Grote ransomwareaanval treft organisaties meerdere landen - update Nieuws van 27 juni 2017
'Modulaire Industroyer-malware richt zich op substations hoogspanningsnetten'
'Modulaire Industroyer-malware richt zich op substations hoogspanningsnetten' Nieuws van 12 juni 2017
Hacker laat luchtalarm Dallas anderhalf uur lang afgaan
Hacker laat luchtalarm Dallas anderhalf uur lang afgaan Nieuws van 9 april 2017
'Oekraïense stroomnetwerk is opnieuw getroffen door hackers'
'Oekraïense stroomnetwerk is opnieuw getroffen door hackers' Nieuws van 10 januari 2017
Oekraïne onderzoekt mogelijke internetaanval op energienet Kiev
Oekraïne onderzoekt mogelijke internetaanval op energienet Kiev Nieuws van 20 december 2016
Kaspersky: we leven in de middeleeuwen van internetbeveiliging
Kaspersky: we leven in de middeleeuwen van internetbeveiliging Nieuws van 5 april 2016
'Malwareaanval op Oekraïens vliegveld komt uit Rusland'
'Malwareaanval op Oekraïens vliegveld komt uit Rusland' Nieuws van 18 januari 2016
Malware op betaalsystemen hotelketen Hyatt stal creditcardgegevens
Malware op betaalsystemen hotelketen Hyatt stal creditcardgegevens Nieuws van 24 december 2015
VN wil ict-beveiligingstak opzetten met 'digitale blauwhelmen'
VN wil ict-beveiligingstak opzetten met 'digitale blauwhelmen' Nieuws van 17 december 2015
'Russen bespioneerden jarenlang Westerse overheden via PowerPoint-lek'
'Russen bespioneerden jarenlang Westerse overheden via PowerPoint-lek' Nieuws van 14 oktober 2014
'Hackers hadden toegang tot scada-systemen energiebedrijven'
'Hackers hadden toegang tot scada-systemen energiebedrijven' Nieuws van 1 juli 2014
'Iran bestrijdt Duqu-virus met eigen software'
'Iran bestrijdt Duqu-virus met eigen software' Nieuws van 14 november 2011
VS claimt hacks elektriciteitsnet door China en Rusland
VS claimt hacks elektriciteitsnet door China en Rusland Nieuws van 8 april 2009
Meer producten en artikelen
Netwerk en systeembeheer Malware Security

Reacties (40)

-Moderatie-faq
40
38
25
1
0
1
Wijzig sortering

Sorteer op:

Weergave:
HubD1 5 januari 2016 16:59
Best wel eng. Een stroomstoring is een effectief middel om een land of regio plat te leggen.
Heb er zelf ervaring mee met een meerdaagse stroomstoring (apache-hoogspanningsmast aantal jaar terug) en het is heel vervelend. Geen verwarming (CV), geen licht, geen koelkast, geen internet, telefoon raakt snel leeg. Zendmasten lagen er ook uit. Als je electrisch kookt heb je geen warm eten. Pompstations in de regio plat, winkels de eerste dag gesloten. etc.
Nu was het een redelijke kleine regio, maar als je zo een land een paar dagen plat kunt leggen komen er gelijk heel veel mensen in de problemen.
loki504 @HubD15 januari 2016 17:41
En dat kan nu al redelijk makkelijk ipv bommen aflaten gaan in gebouwen. Kan je ook een paar hoogspannings masten opblazen. Vermoed niet dat ze binnen een paar uurtje nieuwe masten kunnen kopen en installeren. Doe het op een paar key point en een groot deel van ons land zal in de problemen komen.
mbb @HubD16 januari 2016 01:22
Lijkt me irritant als door een stroomstoring het gas het niet meer doet. Misschien moet ministerie van defensie/binnenlandse veiligheid eens iets van UPS-en/apart stroomnetwerk voor HRketels en pompstations gaan verplichten.
Dan kan bij uitval van het ene systeem altijd de andere nog als back-up functioneren. (evt wat buren in huis nemen als het lang duurt).
(Hybride auto's kunnen in Japan sinds Fukuiama als stroomgenerator gebruikt worden)
Samueldw 5 januari 2016 17:00
Volgens mij zit de zwakheid hierin dat essentiële systemen aan het internet worden gehangen. Vraag mij ook af waarom dat gedaan wordt.
djrobo1989 @Samueldw5 januari 2016 17:13
Ook dat is geen 100% beveiliging. Denk aan de scada systemen in iran. Die koelingsinstallatie was ook niet aan internet gekoppeld, maar via via via uiteindelijk ging het daar ook mee mis.
Dus voorkomen kan je niet, maar los van internet is wel het minste wat je kan doen.

En natuurlijk ook op die systemen goed beheer uitvoeren.

[Reactie gewijzigd door djrobo1989 op 23 juli 2024 16:04]

ToolBee @Samueldw5 januari 2016 17:40
Dat scheelt weer echte, dure, mensen in een kantoortje waar licht en verwarming in moet. (ook duur...) :O
Rudie_V 5 januari 2016 17:01
Rusland.

Kritieke systemen moet je ook los van de rest van de wereld hebben. Opzich had de malware nooit bij deze kritieke systemen mogen komen. Ben dan ook benieuwd hoe de besmetting tot stand is gekomen.
Blokker_1999
@Rudie_V5 januari 2016 17:57
En wie zegt dat deze kritieke systemen niet los staan van de wereld? Er zijn genoeg manieren om ze alsnog besmet te krijgen, en vaak zijn air gapped netwerken net minder goed beveiligd omdat men er al snel van uit gaat dat er toch niemand aan kan.
Rudie_V @Blokker_19995 januari 2016 18:15
De virusbesmetting geeft aan dat de systemen niet los van de buitenwereld waren. En of dat nou via een kabeltjes of draagbare media is gegaan maakt niet uit. Of er is bewust gesaboteerd door iemand die toegang tot de systemen had, dat kan ook.
mbb @Blokker_19996 januari 2016 01:17
En tegelijk moet 'voor de veiligheid' de software erop up-to-date gehouden worden - als er nog winXP of ongepatchte Vista op draaid wordt er ook moord en brand geschreeuwd. Die updates zullen er toch op een of andere manier opgezet moeten worden, via netwerk en/of USB.
peet79 5 januari 2016 17:05
De energie centrales waar ik gewerkt heb, zaten inderdaad helemaal losgekoppeld van de buitenwereld en kennelijk maar goed ook. Het huidige bedrijf waar ik werk hebben ze afgelopen kerst weer een aantal HMI/scada PC's vervangen omdat die volgelopen waren met trojans, systemen daar zijn gelukkig minder kritisch.
mg794613 5 januari 2016 18:51
Ik snap iets niett.
Je merkt toch wel in je design en monitoring of er opeens een poortje luistert op een machine die daar niet voor bedoelt is?

Machines met office erop.
Anonymoussaurus
5 januari 2016 16:49
Doet me een beetje denken aan Die Hard 4.0 :). Klinkt logisch dat het kan. Alles kan immers gehackt worden, zolang het maar aangestuurd wordt door een computer.
bbob
@Anonymoussaurus5 januari 2016 17:07
Alles kan gehackt worden maar als een centrale of de computers die ze aansturen geen internet verbinding hebben valt er op afstand weinig te hacken.

Het mag ondertussen gewoon duidelijk zijn dat je dit soort systemen niet van internet toegang moet voorzien, dan heb je dit probleem ook niet.
Nonode @bbob6 januari 2016 08:40
Systemen moeten ook up to date gehouden worden, dit gebeurt inmiddels altijd via internet.

Tevens zijn deze systemen tegenwoordig via internet benaderbaar vanwege het bezuinigen. Nu kan een persoon meerdere centrales bedienen vanuit een lokatie, dit is de toekomst maar brengt inderdaad wel risico's met zich mee.

vandaar ook de updates. :)

en inderdaad alles kan gehackt worden, check Barnaby Jack. Voor hem waren zelfs pacemakers niet veilig.
bbob
@Nonode6 januari 2016 08:50
Up to date. Werkt het werkt het. Er zijn al je je eens infromeerd systemen die al 20 jaar draaien op oude hardware en software en werken gewoon.

Verbinding met internet wil je gewoon niet met dit soort systemen,
AndRo555 @bbob5 januari 2016 17:12
Hacken via het internet gaat niet meer, maar dat heb je niet per se nodig. Virussen die via USB stick verspreiden kunnen bv ook.
Dat is een vrij 'simpel' voorbeeld, maar het kan nog op vele andere moeilijkheden. Je kan mits een beetje handigheid een vga monitor aflezen door de em straling van de kabel op te vangen en te kunnen interpreteren. Of een toetsenbord af te lezen door het geluid van een microfoon. Zo kan je waarschijnlijk ook wel door bepaalde gericht EM pulsen essentiele apparatuur laten falen of veiligheden in werking zetten in dergelijke centrale.

Misschien een paar onnozele voorbeelden, maar het toont wel aan dat je geen internet nodig hebt om iets dergelijk voor elkaar te krijgen.

[Reactie gewijzigd door AndRo555 op 23 juli 2024 16:04]

Blokker_1999
@AndRo5555 januari 2016 17:55
Maar die technieken wil ik je wel eens zien doen buiten een labo omgeving. In theorie kan het, in de praktijk toepassen is nog iets totaal anders. De EM straling van die kabel is namelijk niet de enige EM straling in de buurt. Bijkomend zit je met meerdere aders die allemaal parallel data aan het verwerken zijn aan een enorm hoge snelheid. Dat goed detecteren gaat een hele klus zijn.

Je toetsenbord aflezen met het geluid van een microfoon terwijl de meeste toetsenborden amper lawaai maken. Daar moeten waarden dubbel uitkomen, zelfs in een labo omgeving. Laat staan op een werkvloer waar lawaai is en het geluid van het toestenbord overstemt word (tenzij je een mechanisch hebt)

Apparatuur die EM gevoelig is zal vaak ook afgescherm zijn tegen EM invloeden. Om dat te doorbreken van buitenaf is bijna onmogelijk, om dat van binnen uit te doen gaat meestal opvallen. Kan je evengoed de stekker uit het stopcontact trekken.
CAPSLOCK2000
@Blokker_19995 januari 2016 18:30
Maar die technieken wil ik je wel eens zien doen buiten een labo omgeving. In theorie kan het, in de praktijk toepassen is nog iets totaal anders.
Je heb helemaal gelijk dat het moeilijk is maar het is meerdere malen in praktijk bewezen en van Snowden weten we dat de NSA dit in het repertoir heeft.
Ik heb het wel alleen voor klassieke analoge VGA-kabels gezien. Een digitaal signaal kan veel lastiger kunnen zijn omdat je die signalen van encryptie kan voorzien. (Afluisteren kan dan nog wel maar je hebt er niks aan)
Finger @Blokker_19995 januari 2016 18:49
Heb ooit een programma op tv gezien waarbij iemand dat met een schotel en laptop vanuit de auto deed in New York. Hij ging van kantoor naar kantoor en maakte dan allemaal raportjes over de lekken en fixte ze dan. Tegen ruime vergoeding uiteraad.

[Reactie gewijzigd door Finger op 23 juli 2024 16:04]

supersnathan94 @AndRo5555 januari 2016 17:40
Klopt allemaal. Dit zou echter wel allemaal een prestatie van formaat zijn. Kennelijk hebben centrales niks geleerd van stuxnet en hangen essentiële systemen nog steeds aan het internet. Anders zou een ssh backdoor geen schade aan kunnen richten.
Verwijderd @supersnathan945 januari 2016 18:18
stuxnet was juist een offline aanval..
supersnathan94 @Verwijderd5 januari 2016 18:20
Ja maar juist rond die tijd werd gepoogd de awareness voor dít probleem te verhogen.
Simyager @AndRo5555 januari 2016 18:04
Als je al zover binnen bent, kun je net zo goed daar handmatig zelf alles verzieken. Is goedkoper en effectiever...
dbram @bbob5 januari 2016 17:15
En zelfs dan kunnen ze besmet worden. Stuxnet iemand ? Scada, siemens s7, ...
Tux4life @bbob5 januari 2016 17:16
Dat is precies wat de beveiligers van de verrijkingsinstallaties in Iran dachten. Blijkt dat er genoeg problemen overblijven als je netjes offline blijft.
Anonymoussaurus
@bbob5 januari 2016 17:10
Nee, maar dat spreekt voor zich toch..? Dat je zonder internet geen netwerkverkeer hebt.
ToolkiT @Anonymoussaurus5 januari 2016 17:45
Zonder internet geen netwerk?
Je kan prima een lokaal netwerk draaien, als dan niet gebaseerd op TCP/IP protocol of iets anders..
Anonymoussaurus
@ToolkiT5 januari 2016 18:13
Dat is wat ik bedoelde, zonder te veel moeite te doen om het uit te leggen :P.
ToolkiT @Anonymoussaurus5 januari 2016 18:16
Of om het duidelijk en correct op de schrijven :P :+
Verwijderd @bbob5 januari 2016 18:40
Je heb altijd short dick managers/directeurs die alles remote "onder controle" willen hebben...
Aetje @bbob5 januari 2016 19:08
Heb je helemaal gelijk in. Maaarrrrr dan kunnen de systemen op afstand niet meer bewaakt worden. En dan moet er dus een mannetje fysiek op locatie zitten die de gegevens uitleest en handmatig correcties uitvoert. En dat mannetje moet kennis van zake hebben. Dat mannetje kost geld. Dus management van dat mannetje vind 't makkelijker om te schreeuwen "boehoe, hackers, overheid doe er wat aan".
Gemakzucht, kostenbesparing en tijdsdruk. Drie grote vijanden van systeembeveiliging.
iTeV @Anonymoussaurus5 januari 2016 17:34
Doet me ook een beetje denken aan Mr. Robot.
jochem4207 @iTeV5 januari 2016 18:14
Ja precies en het boek Blackout :)
loki504 @Anonymoussaurus5 januari 2016 17:37
Vind het eerder op de film/serie black-out denken. Alleen dan niet fysiek inbreken.
raro007 5 januari 2016 16:53
waarbij geïnfecteerde Micosoft Office-bestanden worden verstuurd die de BlackEnergy-malware via een kwaadaardige macro verspreiden.
Dus de zwakheid zit in de besturingssysteem? Onder andere Windows xp ga ik van uit dan.

Xp moest het zijn..

[Reactie gewijzigd door raro007 op 23 juli 2024 16:04]

Pruts0r @raro0075 januari 2016 17:02
Uiteraard is Windows een OS met de nodige security issues maar ik denk dat het grootste probleem hem zit in het feit dat dit soort kritische infrastructuur überhaupt bereikbaar is voor deze malware. Veelal gaat het om SCADA systemen die (vele jaren geleden) ontwikkeld zijn zonder enige security concerns. En dan op een dag word er een keer door management besloten dat het wel handig zou zijn als de systemen aan een GPRS verbinding zouden komen te hangen o.i.d. en vervolgens worden die door John Matherly in kaart gebracht met Shodan en kunnen ze geïnfecteerd worden.
Verwijderd @raro0075 januari 2016 23:34
Alsof die computers iets anders gaan draaien dan Windows...

Apple lijkt me sterk en linux al helemaal niet!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq