Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 40 reacties
Submitter: kwakzalver

De stroomstoringen die kort voor kerst plaatsvonden in Oekra´ne blijken volgens beveiligingsbedrijf ESET te wijten aan de gerichte inzet van BlackEnergy-malware. Door de aanvallen kwamen ongeveer 700.000 mensen een paar uur zonder stroom te zitten.

ESET meldt verder dat de BlackEnergy-malware al langer bestaat en dat het gaat om een modulair programma. Dit houdt in dat de malware is opgebouwd uit verschillende componenten die allemaal een eigen taak uitvoeren. In de aanvallen tegen de energiecentrales werd gebruikgemaakt van een module met de naam 'KillDisk', die in staat is bestanden te overschrijven. Daardoor kunnen computers niet meer gestart worden en wordt ook het repareren van de schade bemoeilijkt, aldus het bedrijf.

De versie van KillDisk die in de aanvallen werd ingezet was volgens een beveiligingsonderzoeker van ESET geoptimaliseerd voor de inzet bij industriële systemen. Ook werd onlangs bekend dat de BlackEnergy-malware een ssh-backdoor bevat, waarmee een aanvaller zich toegang kan verschaffen tot een geïnfecteerd systeem en dat systeem kan uitschakelen. De KillDisk-module zou dan alleen het herstelwerk bemoeilijken. Volgens ESET waren tijdens de stroomstoring verscheidene energiecentrales tegelijk doelwit van aanvallen.

Oekraïense media- en energiebedrijven zouden al langer worden belaagd door hackers. De infectie zou hebben plaatsgevonden via een gerichte phishingcampagne waarbij geïnfecteerde Micosoft Office-bestanden worden verstuurd die de BlackEnergy-malware via een kwaadaardige macro verspreiden. Tot nu toe was het niet duidelijk of de stroomstoringen veroorzaakt werden door deze vorm van malware, maar de recentste mededeling van ESET lijkt dat te bevestigen.

Moderatie-faq Wijzig weergave

Reacties (40)

Best wel eng. Een stroomstoring is een effectief middel om een land of regio plat te leggen.
Heb er zelf ervaring mee met een meerdaagse stroomstoring (apache-hoogspanningsmast aantal jaar terug) en het is heel vervelend. Geen verwarming (CV), geen licht, geen koelkast, geen internet, telefoon raakt snel leeg. Zendmasten lagen er ook uit. Als je electrisch kookt heb je geen warm eten. Pompstations in de regio plat, winkels de eerste dag gesloten. etc.
Nu was het een redelijke kleine regio, maar als je zo een land een paar dagen plat kunt leggen komen er gelijk heel veel mensen in de problemen.
En dat kan nu al redelijk makkelijk ipv bommen aflaten gaan in gebouwen. Kan je ook een paar hoogspannings masten opblazen. Vermoed niet dat ze binnen een paar uurtje nieuwe masten kunnen kopen en installeren. Doe het op een paar key point en een groot deel van ons land zal in de problemen komen.
Lijkt me irritant als door een stroomstoring het gas het niet meer doet. Misschien moet ministerie van defensie/binnenlandse veiligheid eens iets van UPS-en/apart stroomnetwerk voor HRketels en pompstations gaan verplichten.
Dan kan bij uitval van het ene systeem altijd de andere nog als back-up functioneren. (evt wat buren in huis nemen als het lang duurt).
(Hybride auto's kunnen in Japan sinds Fukuiama als stroomgenerator gebruikt worden)
Volgens mij zit de zwakheid hierin dat essentiŰle systemen aan het internet worden gehangen. Vraag mij ook af waarom dat gedaan wordt.
Ook dat is geen 100% beveiliging. Denk aan de scada systemen in iran. Die koelingsinstallatie was ook niet aan internet gekoppeld, maar via via via uiteindelijk ging het daar ook mee mis.
Dus voorkomen kan je niet, maar los van internet is wel het minste wat je kan doen.

En natuurlijk ook op die systemen goed beheer uitvoeren.

[Reactie gewijzigd door djrobo1989 op 5 januari 2016 17:14]

Dat scheelt weer echte, dure, mensen in een kantoortje waar licht en verwarming in moet. (ook duur...) :O
Rusland.

Kritieke systemen moet je ook los van de rest van de wereld hebben. Opzich had de malware nooit bij deze kritieke systemen mogen komen. Ben dan ook benieuwd hoe de besmetting tot stand is gekomen.
En wie zegt dat deze kritieke systemen niet los staan van de wereld? Er zijn genoeg manieren om ze alsnog besmet te krijgen, en vaak zijn air gapped netwerken net minder goed beveiligd omdat men er al snel van uit gaat dat er toch niemand aan kan.
De virusbesmetting geeft aan dat de systemen niet los van de buitenwereld waren. En of dat nou via een kabeltjes of draagbare media is gegaan maakt niet uit. Of er is bewust gesaboteerd door iemand die toegang tot de systemen had, dat kan ook.
En tegelijk moet 'voor de veiligheid' de software erop up-to-date gehouden worden - als er nog winXP of ongepatchte Vista op draaid wordt er ook moord en brand geschreeuwd. Die updates zullen er toch op een of andere manier opgezet moeten worden, via netwerk en/of USB.
De energie centrales waar ik gewerkt heb, zaten inderdaad helemaal losgekoppeld van de buitenwereld en kennelijk maar goed ook. Het huidige bedrijf waar ik werk hebben ze afgelopen kerst weer een aantal HMI/scada PC's vervangen omdat die volgelopen waren met trojans, systemen daar zijn gelukkig minder kritisch.
Ik snap iets niett.
Je merkt toch wel in je design en monitoring of er opeens een poortje luistert op een machine die daar niet voor bedoelt is?

Machines met office erop.
Doet me een beetje denken aan Die Hard 4.0 :). Klinkt logisch dat het kan. Alles kan immers gehackt worden, zolang het maar aangestuurd wordt door een computer.
Alles kan gehackt worden maar als een centrale of de computers die ze aansturen geen internet verbinding hebben valt er op afstand weinig te hacken.

Het mag ondertussen gewoon duidelijk zijn dat je dit soort systemen niet van internet toegang moet voorzien, dan heb je dit probleem ook niet.
Systemen moeten ook up to date gehouden worden, dit gebeurt inmiddels altijd via internet.

Tevens zijn deze systemen tegenwoordig via internet benaderbaar vanwege het bezuinigen. Nu kan een persoon meerdere centrales bedienen vanuit een lokatie, dit is de toekomst maar brengt inderdaad wel risico's met zich mee.

vandaar ook de updates. :)

en inderdaad alles kan gehackt worden, check Barnaby Jack. Voor hem waren zelfs pacemakers niet veilig.
Up to date. Werkt het werkt het. Er zijn al je je eens infromeerd systemen die al 20 jaar draaien op oude hardware en software en werken gewoon.

Verbinding met internet wil je gewoon niet met dit soort systemen,
Hacken via het internet gaat niet meer, maar dat heb je niet per se nodig. Virussen die via USB stick verspreiden kunnen bv ook.
Dat is een vrij 'simpel' voorbeeld, maar het kan nog op vele andere moeilijkheden. Je kan mits een beetje handigheid een vga monitor aflezen door de em straling van de kabel op te vangen en te kunnen interpreteren. Of een toetsenbord af te lezen door het geluid van een microfoon. Zo kan je waarschijnlijk ook wel door bepaalde gericht EM pulsen essentiele apparatuur laten falen of veiligheden in werking zetten in dergelijke centrale.

Misschien een paar onnozele voorbeelden, maar het toont wel aan dat je geen internet nodig hebt om iets dergelijk voor elkaar te krijgen.

[Reactie gewijzigd door AndRo555 op 5 januari 2016 17:13]

Maar die technieken wil ik je wel eens zien doen buiten een labo omgeving. In theorie kan het, in de praktijk toepassen is nog iets totaal anders. De EM straling van die kabel is namelijk niet de enige EM straling in de buurt. Bijkomend zit je met meerdere aders die allemaal parallel data aan het verwerken zijn aan een enorm hoge snelheid. Dat goed detecteren gaat een hele klus zijn.

Je toetsenbord aflezen met het geluid van een microfoon terwijl de meeste toetsenborden amper lawaai maken. Daar moeten waarden dubbel uitkomen, zelfs in een labo omgeving. Laat staan op een werkvloer waar lawaai is en het geluid van het toestenbord overstemt word (tenzij je een mechanisch hebt)

Apparatuur die EM gevoelig is zal vaak ook afgescherm zijn tegen EM invloeden. Om dat te doorbreken van buitenaf is bijna onmogelijk, om dat van binnen uit te doen gaat meestal opvallen. Kan je evengoed de stekker uit het stopcontact trekken.
Maar die technieken wil ik je wel eens zien doen buiten een labo omgeving. In theorie kan het, in de praktijk toepassen is nog iets totaal anders.
Je heb helemaal gelijk dat het moeilijk is maar het is meerdere malen in praktijk bewezen en van Snowden weten we dat de NSA dit in het repertoir heeft.
Ik heb het wel alleen voor klassieke analoge VGA-kabels gezien. Een digitaal signaal kan veel lastiger kunnen zijn omdat je die signalen van encryptie kan voorzien. (Afluisteren kan dan nog wel maar je hebt er niks aan)
Heb ooit een programma op tv gezien waarbij iemand dat met een schotel en laptop vanuit de auto deed in New York. Hij ging van kantoor naar kantoor en maakte dan allemaal raportjes over de lekken en fixte ze dan. Tegen ruime vergoeding uiteraad.

[Reactie gewijzigd door Finger op 5 januari 2016 18:50]

Klopt allemaal. Dit zou echter wel allemaal een prestatie van formaat zijn. Kennelijk hebben centrales niks geleerd van stuxnet en hangen essentiŰle systemen nog steeds aan het internet. Anders zou een ssh backdoor geen schade aan kunnen richten.
stuxnet was juist een offline aanval..
Ja maar juist rond die tijd werd gepoogd de awareness voor dÝt probleem te verhogen.
Als je al zover binnen bent, kun je net zo goed daar handmatig zelf alles verzieken. Is goedkoper en effectiever...
En zelfs dan kunnen ze besmet worden. Stuxnet iemand ? Scada, siemens s7, ...
Dat is precies wat de beveiligers van de verrijkingsinstallaties in Iran dachten. Blijkt dat er genoeg problemen overblijven als je netjes offline blijft.
Nee, maar dat spreekt voor zich toch..? Dat je zonder internet geen netwerkverkeer hebt.
Zonder internet geen netwerk?
Je kan prima een lokaal netwerk draaien, als dan niet gebaseerd op TCP/IP protocol of iets anders..
Dat is wat ik bedoelde, zonder te veel moeite te doen om het uit te leggen :P.
Of om het duidelijk en correct op de schrijven :P :+
Je heb altijd short dick managers/directeurs die alles remote "onder controle" willen hebben...
Heb je helemaal gelijk in. Maaarrrrr dan kunnen de systemen op afstand niet meer bewaakt worden. En dan moet er dus een mannetje fysiek op locatie zitten die de gegevens uitleest en handmatig correcties uitvoert. En dat mannetje moet kennis van zake hebben. Dat mannetje kost geld. Dus management van dat mannetje vind 't makkelijker om te schreeuwen "boehoe, hackers, overheid doe er wat aan".
Gemakzucht, kostenbesparing en tijdsdruk. Drie grote vijanden van systeembeveiliging.
Doet me ook een beetje denken aan Mr. Robot.
Ja precies en het boek Blackout :)
Vind het eerder op de film/serie black-out denken. Alleen dan niet fysiek inbreken.
waarbij ge´nfecteerde Micosoft Office-bestanden worden verstuurd die de BlackEnergy-malware via een kwaadaardige macro verspreiden.
Dus de zwakheid zit in de besturingssysteem? Onder andere Windows xp ga ik van uit dan.

Xp moest het zijn..

[Reactie gewijzigd door raro007 op 5 januari 2016 17:04]

Uiteraard is Windows een OS met de nodige security issues maar ik denk dat het grootste probleem hem zit in het feit dat dit soort kritische infrastructuur Řberhaupt bereikbaar is voor deze malware. Veelal gaat het om SCADA systemen die (vele jaren geleden) ontwikkeld zijn zonder enige security concerns. En dan op een dag word er een keer door management besloten dat het wel handig zou zijn als de systemen aan een GPRS verbinding zouden komen te hangen o.i.d. en vervolgens worden die door John Matherly in kaart gebracht met Shodan en kunnen ze ge´nfecteerd worden.
Alsof die computers iets anders gaan draaien dan Windows...

Apple lijkt me sterk en linux al helemaal niet!

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True