Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 44, views: 26.299 •

Een nieuw virus heeft ten minste n bedrijf uit de energiesector getroffen. Het virus overschrijft bestanden en verminkt master boot records, zodat pc's niet meer kunnen opstarten. Er zijn aanwijzingen dat het om een doelgerichte aanval gaat.

Het virus, dat door antivirusbedrijven 'Shamoon' of 'Disttrack' wordt genoemd, maakt op Windows-systemen een lijst met interessante bestanden en vernietigt deze vervolgens. De bestanden worden overschreven met data uit een jpeg-bestand, stelt Symantec, zodat ze niet meer kunnen worden hersteld.

Daarnaast wordt het master boot record van de harde schijf overschreven, waardoor de computer niet meer kan opstarten zonder een herinstallatie of het terugplaatsen van backups. Of het virus ook informatie steelt, is vooralsnog onduidelijk. Volgens SecuLert worden de namen van de gewiste bestanden naar een andere pc gestuurd, maar die zou zich opvallend genoeg in hetzelfde netwerk bevinden. Mogelijk gaat het om een getrapte aanval, waarbij een pc die niet rechtstreeks aan het internet is gekoppeld, wordt aangevallen via een pc in hetzelfde netwerk die dat wel is.

Het is nog geen wijdverspreid virus; Symantec schat dat er minder dan vijftig besmettingen zijn. Wel zou er al een aantal instellingen zijn getroffen. Mogelijk gaat het om een doelgerichte aanval; een van de besmettingen betreft een niet bij naam genoemd bedrijf uit de energiesector. Eerder werd bekend dat het energiebedrijf Saudi Aramco uit Saudi-Arabië door het virus zou zijn getroffen, maar het is onduidelijk of het daarbij inderdaad om het Shamoon/Disttrack-virus gaat.

Een module van het virus heeft de bestandsnaam 'wiper.pdb', wat sommige beveiligingsbedrijven zien als een verwijzing naar Wiper, een module van het Flame-virus dat onlangs opdook. Kaspersky denkt echter niet dat er een relatie tussen de twee is, en uit een analyse van het bedrijf zou zelfs blijken dat het nieuwe virus mogelijk het werk van scriptkiddy's is.

Reacties (44)

Hopen dat de Kritische systemen in een apart, op zichzelf staand netwerk opereren en niet een directe link naar het internet hebben.
Als je leest zul je zien dat die pc's die niet aan het internet gekoppeld zijn, toch het internet bereiken via andere pc's die dat wel zijn. Ik citeer: "Mogelijk gaat het om een getrapte aanval, waarbij een pc die niet rechtstreeks aan het internet is gekoppeld, wordt aangevallen via een pc in hetzelfde netwerk die dat wel is."

EDIT: Inderdaad wel hopen dat ze daar los van staan :)

[Reactie gewijzigd door RobjeDopje op 17 augustus 2012 17:18]

Daarom zei ik ook een los op zichzelf staand netwerk:)
En daar zijn er op zich weinig van. Een echt op zichzelf staand netwerk kan namelijk ook geen alarm-signaleringen sturen als er iets fout gaat.

Normaliter wil je bij kritieke systemen minimaal een automatische bijsturing krijgen als er een alarm afgaat en daarnaast wil je dat dat alarm doorgezet wordt naar mensen die er naar kunnen kijken.

Wil je echt een gescheiden netwerk hebben dan heb je 2 controle-systemen nodig (1 voor het bijstellen als het fout gaat en 1 met externe toegang om een signalering te sturen) en die moeten "magischerwijs" in sync blijven
alarmmelding gaan vaak een aparte alarm-vpn lijn
Daar zijn simpele oplossingen voor zoals alleen smtp poort open met alleen toegang naar 1 ipadres van een externe mailserver die niet in jouw netmwerk zit, die van provider bijv. Voor de alarm melding. Uiteraard doe je dit op firewall niveau en niet op je server alhouwel het geen kwaad kan dit op beiden te doen. En je moet er voor zorgen dat je server alleen in een netwerk/vlan zit zodat andere systemen niet zomaar tegen je server kunnen gaan praten als dit niett nodig is.

Zelfde voor de bijsturing vpn verbinding voor je ssh toegang met toegestane ip adressen die verbinding mogen maken.

[Reactie gewijzigd door kaaas op 17 augustus 2012 22:21]

Vergeet niet dat energiebedrijven al jaren een eigen communicatieneterk hebben, het is voor hun simpel om een extra glasvezeltje mee te leggen als de straat toch al open ligt voor een 50kV kabel, er zijn zelfs glasvezelverbindingen verwerkt in de bliksemdraden van een hoogspanningslijn. Dit betekend dat de signaleringen via een eigen netwerk worden getransporteerd, en energiebedrijven dus niet afhankelijk zijn van het internet, ik denk dat het grootste gevaar wordt gevormd door USB sticks.
Besmetting via WAN en vervolgens voortschrijdende besmetting via LAN dus

[Reactie gewijzigd door Kees de Jong op 17 augustus 2012 19:04]

Kritische systemen zijn bij een energiebedrijf ook geen pc's, lijkt me...
Nope, dat zijn de PS3's waar het personeel in de pauze op speelt.

Tuurlijk zijn er wel pc's die kritische functies kunnen aansturen, de tijd van handmatige switches en knoppen zijn we toch al enige tijd voorbij.

De pc zelf zal misschien geen kritiek systeem zijn in het energiebedrijf, maar je kan er wel de kritieke systemen mee aansturen.
Dat bedoel ik dus. Je kunt de stekker eruit trekken en dan de boel handmatig aansturen. No way dat dat niet kan. Een energiebedrijf zal echt geen SPoF hebben.
Handmatige switch en knoppen. Hmm. Wat een idee. Dat klinkt eigenlijk best slim en veilig. Schakel een energiecentrale uit en je schakelt alle pc's uit in de regio die door die centrale van energie voorzien wordt.

Lijkt mij een heel tactische aanvalsmogelijkheid. Energie is zo centraal voor alles wat we doen tegenwoordig... Misschien zouden we energiecentrales moeten uitrusten met handmatige switches en knoppen.

Ik snap niet het idee dat men denkt dat door het gebruik van computers die besmet kunnen worden met steeds slimmer wordende virussen de zaken beter worden.
Ik ben zelf werkzaam in de energie sector, ik kan jullie uit de droom helpen alle schakelaars zijn nog steeds te bedienen zonder computer overal zitten nog steeds knoppen op, en deze zijn zelfs te bedienen zonder elektriciteit,bij een (langdurige) stoomstoring zal het wel eens kunnen gebeuren dat je moet schakelen en... er is geen spanning.
dit artikel komt niet met erg sterke argumenten dat het hier een doelgerichte aanval op een energiebedrijf betreft.

Het betreft hier toch geen stemmingmakerij hoop ik?
Klinkt spannend dit item in het licht van de vorige virussen de afgelopen tijd, maar aangezien het maar 1 bedrijf betreft, is het toch meer aanmelijk dat het hier gaat om een slechte interne ICT afdeling/beveiliging/antivirus (infectie via jpeg) ? Of Is een virusmelding van minder dan 50 nu ineens wereldschokkend nieuws ?
Het is nieuws omdat het gaat om een vitale voorziening. Nederland gaat failliet als 'de stroom uitvalt'.
Leuk van die scriptkiddy's. Zijn meestal 15-18 jarigen die denken dat het leuk is. Wat ze er echter bij vergeten is dat hun 'kunsten' heel wat schade aan kan richten, zo niet aan rcht.

Daarbij is het voor bedrijven zoals dat van ons een koud kunstje om hen te traceren. Het vervelende, vind ik althans, is dat meestal de ouders van dit soort grut de dupe worden van hun vervelende 'kunstjes' en een, al dan niet heel erg emotioneel, erg groot schadebedrag voorgeschoteld krijgen.

Wij hebben wel eens een ventje van 14 getraceerd dat de locale supermarkt aan had gevallen waardoor de kassa systemen niet meer werkten. Schade post: +/- 15.000,-

De ouders van dit ventje hadden het al moeilijk met een doodzieke vader en kon dit bedrag niet ophoesten. Gevolg: schuldsanering. Hoe moeilijk het ook is, wij moeten toch de beveiliging, al dan niet vooraf/achteraf, bieden en dit soort 'mini-crimineeltjes' opsporen.
Ik vind de term scirptkiddy's in de meeste gevallen wel wat denigrerend klinken.

Er zijn genoeg jongeren die inderdaad met een gedownload scriptje iets omver weten te trekken, maar als zo'n "scriptkiddy" door kan dringen tot vitale delen van een energiebedrijf of b.v. een kassasysteem op z'n plaat kan helpen, dan zegt dat eerder iets over de toegepaste beveiliging dan over de skills van de betreffende misbruiker.
klopt ook in mijn mening.

Een scriptkiddy zal niet veel werk zelf (kunnen) doen
Dus dan is de betreffende beveiliging al eerder omzeild, wat hem de gelegenheid boodt om het over te doen.

alleen omdat zijn kennis te beperkt was, is hij dus gepakt.
Technisch heeft hij een dienst bewezen, het gat in de beveiliging is geopenbaard, en kon verholpen worden.
( dus is het bedrijf wat de mooie beveiliging de aanstichter, door niet direct goed gecontroleerd te hebben, en niet de logs nageplozen om evt oneffenheden uit te schakelen na de livegang )

dit is oneday solution werk, "alsjeblieft, u bent nu beveiligd"
en na een inbraak, dt gat dichten, en wachten op de volgende problemen
Ik zou maar eens goed de systemen voor de kassa's e.d. nakijken.
Heel leuk hoor, hem traceren, maar ik ben hier van mening dat het hier de schuld is van de winkel ipv de "hacker". Tevens is dit niet de goede oplossing, vraag aan zo iemand of hij weet hoe de systemen beter beveiligd kunnen worden e.d, want wie zegt dat het niet nog een keer gebeurd?
Beveiliging kan misschien/wellicht beter, maar het is niet het middel, maar de persoon die het middel gebruikt die bepaalt of iets voor 'goed' of 'slecht' wordt gebruikt.

In jouw vergelijk, even grof doorgetrokken, is niet de schutter die een of meer mensen omlegt verantwoordelijk, maar het bedrijf dat het vuurwapen heeft gemaakt.

Samenwerken met dergelijke personen kan zeker waardevol zijn, maar ik ben ook van mening dat als je iets doet dat niet mag, je daarvoor best gestraft mag worden. Iets met opvoeding, en leren wat goed en slecht is?

Edit: Het feit dat ouders feitelijk opdraaien voor de kosten van dergelijke acties is wel zuur, al kun je daar wel weer op aangeven dat ze de kinderen beter in de gaten moeten houden. Maar dan stuit je dus weer op een deel van het probleem van opvoeden en hoe dat tegenwoordig heel anders gebeurd dan vroeger. Er zijn veel dingen anders ten opzichte van een decennium of meer geleden, maar het principe blijft natuurlijk hetzelfde.

[Reactie gewijzigd door iskander_novena op 17 augustus 2012 22:28]

Waarop baseer je dat dit "Scriptkiddies" van 15 tot 18 jaar zijn...
Er zijn genoeg "volwassen" hackers/(virus)scripters... Ik vind jouw conclusie dus een beetje kort door de bocht!

En dat er een virus een energie bedrijf trekt zegt meer dan genoeg over het beveiligingsniveau van dit bedrijf...
En dat er een virus een energie bedrijf trekt zegt meer dan genoeg over het beveiligingsniveau van dit bedrijf...
Niet echt, iedere beveiliging, hoe goed ook, is te kraken. Dat is de eerste regel. Als het echt een staggared virus is, dan zit daar al aardig wat intelligentie achter. Misschien zelfs wel kennis die elders bij elkaar gehacked is.

Daar begin je heel weinig tegen.
Ik denk dat het een gouden tijd is om een netwerk beveiligings bedrijf te beginnen, zodat voor de gene die staan te springen om eindelijk hun rijbewijs op te kunnen halen, hem ook daadwerkelijk krijgen xD
owh, ditmaal gaat het om een energy bedrijf #offtopic
En bij Essent leverancier heeft toevallig het systeem 2 dagen plat gelegen, dat was deze of vorige week geloof ik. Dan heb ik natuurlijk meteen een sterk vermoeden welk energiebedrijf dat zou zijn geweest in de nieuwspost maar bewijzen kan ik het natuurlijk niet. Maar zou ook net zo goed een ander energiebedrijf kunnen zijn geweest.
Dus computers en kritieke systemen die geen internetverbinding mochten hebben worden op hetzelfde netwerk gezet als computers die wel verbinding hebben? Dan staan de kritieke systemen gewoon rechtstreeks verbonden met internet. Slechts de gebruiker van de computer zelf heeft de verbinding niet, maar de hacker heeft juist verbinding tot de computer. Zet er ook nog Windows op en je hebt al helemaal een visitekaartje voor hackers, scriptkiddies en ander gespuis. Ze zijn alleen het grote reclamebord "hack ons" en een prijsuitreiking voor de eerste die de boel om zeep helpt vergeten.
Er zijn aanwijzingen dat het om een doelgerichte aanval gaat.
Wat zijn die aanwijzingen dan :?
mijn buurvrouw laat bijna dagelijks haar achterdeur van het slot, ook als ze meerdere uren weg gaat.
Ik denk dat de wetgever het OOK als huisvredebreuk ziet, als ik alleen maar vieze plaatsje in haar badkamer ophang.

wet is duidelijk in het toegang verschaffen door onbevoegden, k op elektronische systemen.
Het virus [...] maakt op Windows-systemen een lijst met interessante bestanden en vernietigt deze vervolgens.
Kennelijk worden er gericht bestanden vernietigd die niet op iedere pc met windows voorkomen.

Edit:
dat is in ieder geval wat ik begrijp uit de tekst van het artikel.

[Reactie gewijzigd door Falling Leaves op 17 augustus 2012 19:53]

Wordt het niet eens tijd dat virus schrijvers eens wat harder worden aangepakt?

Blijf het belachelijk vinden dat het een steeds groter probleem wordt.
tja, dat vindt ik ook van hardrijders, roodlichtrijders en van wildplassers.
Het is niet zo dat een 'gepakte' schrijver een standje van zijn moeder krijgt "nooit meer doen hoor !"
het moet uiteindelijk wel uitkomen, en bewezen worden WIE het is/was

het is een kwestie van geven en nemen, een toevalstreffer raken, als je iemand 'iets' ziet doen.
Een virus is een code, een programma, hoe wil je het aanpakken, programmeren verbieden ?
of een censuurburo er opzetten, voor het de wereld in mag ?

op elk toetsenbord, touchscreen kan een virus gecreerd worden, maar het kan k zomaar een wereldverbeterend idee zijn.
net zoals dat er 100'en keren op een dag door rood gereden 'kan' worden.
Of je zoekt naar degene die het "upload virus" commando (bij wijze van heh!) heeft uitgevoerd ;)

Op dit item kan niet meer gereageerd worden.