'Malwareaanval op Oekraïens vliegveld komt uit Rusland'

Een woordvoerder van het Oekraïense leger heeft aan Reuters laten weten dat een malwareaanval op het vliegveld van Kiev afkomstig was uit Rusland. De malware zou lijken op de BlackEnergy-malware, die eerder werd gebruikt bij de aanvallen op energiecentrales.

De woordvoerder laat aan persbureau Reuters weten dat de server die voor de aanvallen is gebruikt in Rusland staat. De malwareaanval was gericht op het netwerk van de Boryspil-luchthaven, waarvan ook het luchtverkeersleidingssysteem deel uitmaakt. Er zou geen schade zijn aangericht, omdat de malware in een vroeg stadium was herkend. Het Oekraïense CERT waarschuwde voor verdere aanvallen en raadde alle systeembeheerders aan om 'logboekbestanden en informatieverkeer in de gaten te houden'.

Er zouden aanwijzingen zijn dat de gebruikte malware lijkt op de BlackEnergy-malware, die in december was gebruikt om drie energiecentrales in Oekraïne uit te schakelen. Volgens een recent rapport van beveiligingsbedrijf iSight werden deze aanvallen uitgevoerd door een groep die bekendstaat onder de naam 'Sandworm'. Deze groep zou al langer interesse tonen in kritieke infrastructuursystemen, zowel in de VS als in Europa. Een ander onderzoek stelde destijds dat de energiecentrales niet als direct gevolg van de inzet van malware waren uitgeschakeld, maar dat de aanval bestond uit diverse onderdelen.

IT-banen

Reacties (35)

Genius-General 18 januari 2016 12:58

Waarom zouden die interne systemen van een energiecentrale/vliegvelden überhoud met het internet zijn verbonden? Lijkt mij een gigantisch risico dat bv een hele kerncentrale ontregeld word door een aanval..

nst6ldr @Genius-General • 18 januari 2016 13:04

Er staat nergens dat ze met internet waren verbonden?

Edit: oké, om enige +0/-1 voor te zijn zal ik wat inhoudelijker zijn. De manieren om een netwerk te voorzien van malware noem je een 'attack vector'. Een attack vector is breder dan alleen het internet. Denk aan medewerkers (chantabel/omkoopbaar), het bewerken van firmware/images bij de leverancier voordat de hardware überhaupt het bedrijf betreed, etc. Legio mogelijkheden dus.

Een veel voorkomende tekortkoming is dat er naast een bedrijfsnetwerk ook een 'vuil' netwerk aanwezig is met internet. Als er iets op het bedrijfsnetwerk nodig is dan wil men nog wel eens met een USB stick dit van het internet af halen.

Als je dit soort dingen interessant vind kan je eens gaan zoeken naar het verhaal achter Stuxnet, deze trojan werd aangestuurd op een wel heel creatieve manier: de 'vuile' computers haalden het signaal op vanaf internet en zonden dit met een hoog frequent audio signaal over de speaker naar de standalone systemen die dat met de microfoon konden oppakken, het geluid was voor mensen te hoog voor om goed te kunnen horen dus is het nooit opgevallen. Zo hoeven ze een medewerker dus maar één keer te bewegen om hun USB stick mee te nemen, vanaf daar konden ze de rest zelf.

[Reactie gewijzigd door nst6ldr op 25 juli 2024 08:26]

DF1eCH @nst6ldr • 18 januari 2016 13:08

Hoe anders kan die de server in Rusland dan bereiken?

TJHeuvel @DF1eCH • 18 januari 2016 13:15

Iemand die een USB stick in het vliegtuig heeft laten liggen, werknemer die deze vervolgens erin prikt? Misschien zijn ze gewoon langsgeweest en hebben fysiek bestanden gekopieerd, of anders een werknemer overtuigd dit te doen.

Waar een wil is is een weg.

Aikon @DF1eCH • 18 januari 2016 13:56

Er wordt inderdaad gesproken over een server, maar dat wil niet zeggen dat de malware daar contact mee zoekt. Je kan bijv. met die server malware naar de administratie van een energiecentrale 'versturen' waarna de malware zelf een manier zoekt om de air-gap naar het separate netwerkgedeelte van de centrale te overbruggen, bijv. door usb-sticks te besmetten.

HMC @nst6ldr • 18 januari 2016 15:33

Er staat in het bronartikel _{Edit: correctie: VK artikel: http://www.volkskrant.nl/...ld-door-rusland~a4226569/} dat de geinfecteerde computers van het netwerk zijn gekoppeld NA de waarnemingen van de infecties.

Bovendien is het ook vreemd dat ze maar de power outages van december blijven aanhalen, want die troffen alleen de Krim voorzover ik weet.

Nu ben ik geen master programmer/hacker, maar ik durf wel te stellen dat locaties van servers echt helemaal niets meer zeggen over de oorspronkelijke locatie van een aanval.
Misschien 20 jaar geleden wel, maar in deze tijd echt niet meer.

[Reactie gewijzigd door HMC op 25 juli 2024 08:26]

arsimo @HMC • 18 januari 2016 16:38

Power outages op de Krim was door neerhalen van hoogspanningsmasten. Dat is een heel ander verhaal.

De hack van electriciteitscentrales gebeurde op enkele plekken van het vaste land van Oekraine.

Genius-General @nst6ldr • 18 januari 2016 13:09

Excuses ik dacht dat je toch degelijk met internet moest verbonden zijn om malware vanuit Rusland naar Oekraïne te krijgen

Edit: de reactie van @nst6ldr heldert alles op.

[Reactie gewijzigd door Genius-General op 25 juli 2024 08:26]

rickboy333 @Genius-General • 18 januari 2016 13:09

Waarom zouden die interne systemen van een energiecentrale/vliegvelden überhoud met het internet zijn verbonden? Lijkt mij een gigantisch risico dat bv een hele kerncentrale ontregeld word door een aanval..

Zoals nst6ldr al zegt, staat er niet in. Je kan een vliegveld ook platgooien als je bijvoorbeeld alle douanen computers ontregeld zodat ze paspoorten niet kunnen checken, bij een energiecentrale kunnen ze dus bijvoorbeeld systemen van de communicatie ontregelen zodat men daar niet fatsoenlijk meer kan werken.

Deakers @Genius-General • 18 januari 2016 13:10

Niet omdat het mag, maar omdat het kan...

Mogelijk was men zich nog niet bewust van deze aanvalsvector. Dat is in heel veel scenarios waarschijnlijk het geval.
Op zich zijn de maar kleine spelde prikjes die ons zouden moeten waarschuwen voor wat er kan gebeuren als wij onder vuur komen te liggen. ( wellicht veel meer ellende ivm vergaande digitalisering van allerlei processen )

renzomarcus @Genius-General • 18 januari 2016 15:38

Vliegvelden zoals in dit artikel zijn wel degelijk met het internet verbonden alsook de luchtverkeersleiding, hetzij achter stevige firewalls.

Dit is nodig voor alle informatie over de vluchten te kunnen overbrengen van het een vliegveld naar het andere. Ook worden alle vluchttijden via het internet gesynced, zodat bijvoorbeeld vertragingen automatisch bij het vliegveld van aankomst wordt getoond.

DenniZ 18 januari 2016 13:21

Vreemd genoeg horen we in onze media altijd van malware attacks door niet-westerse landen (In dit voorbeeld Rusland vs Ukraine, maar bijvoorbeeld ook Noord-Korea vs Sony maar andersom horen we dit nooit.

mashell @DenniZ • 18 januari 2016 14:19

Het kan zijn dat de westerse malware veel beter is en niet ontdekt wordt. Of veel slechter en niet eens door de firewall komt. Of dat we beshculdigen over westerse malware de westerse pers niet halen.

Eminus @mashell • 18 januari 2016 23:05

dat laatste.
Chinese / Russische malware behoort tot de beste ter wereld.
Chinese / Russische pers behoort tot de slechtste ter wereld

Verwijderd @DenniZ • 18 januari 2016 13:37

ehm stuxnet? https://nl.wikipedia.org/wiki/Stuxnet

eheijnen @DenniZ • 18 januari 2016 14:26

Opvallenderwijs doet zoiets, nogal gelegen, voor met het op handen zijnde associatieverdrag. Waarover in NL nog een referendum komt:

https://nl.wikipedia.org/...ese_Unie_en_Oekra%C3%AFne

Blokker_1999

Malware
Netwerk en systeembeheer

@DenniZ • 18 januari 2016 13:36

Dat noemt men propaganda. En ja, onze media doet daar ook aan mee, al is het soms een beetje onbewust. Als een land als Rusland ons hacked dan gaat het om een criminele daad. Als wij hen (terug)hacken dan gaat het om nationale veiligheid.

The Zep Man

Netwerk en systeembeheer
Malware

18 januari 2016 13:02

Er zou geen schade zijn aangericht, omdat de malware in een vroeg stadium was herkend.

Een foute veronderstelling. Er is immers wel schade. Of wordt het werk en de middelen dat dankzij deze aanval opgetrommeld wordt gratis en voor niets aangeleverd?

Dat goede beveiliging geld kan besparen bij een aanval(spoging) is natuurlijk waar. Dat houdt niet in dat goede beveiliging evenveel kost bij geen aanval in verhouding bij wel een aanval. Het stuk variabele kosten dat toeneemt bij een afgeweerde aanval is daadwerkelijk toe te wijzen als schade.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 08:26]

Verwijderd @The Zep Man • 18 januari 2016 13:17

Ik vind het artikel per definitie niet echt juist.
"aanval komt uit rusland".. nee.. "één gebruikte server stond in rusland".

Heel andere context, waarbij de kans groot is, dat het Rusland is.. maar dat terzijde.

Aikon @The Zep Man • 18 januari 2016 14:00

Het onderscheppen en detecteren van malware hoort gewoon bij de werkzaamheden van de netwerkbeheerders aldaar, dus er is inderdaad geen sprake van schade.

Auredium 18 januari 2016 13:30

Toevalligerwijze is bekend dat een Russische bende die veel doet aan zaken zoals creditcardfraude sinds een jaar of twee doet wat de Russische overheid van hen vraagt (dit was afgelopen jaar ergens in een Tech Snap aflevering). Het zou mij niet verbazen als die bende ook hierachter zat. Een beetje het 'jullie doen wat wij zeggen en jullie worden niet vervolgt' principe.

kakanox @Auredium • 18 januari 2016 15:25

Bron?

Auredium @kakanox • 18 januari 2016 15:45

Staat er 'Tech Snap' een podcast van Jupiter Broadcast van de laatste helf van afgelopen jaar. Pin me er niet op vast welke.

Ghostrider 18 januari 2016 14:54

Vrijdag was ik nog op Kiev airport, toevallig met mijn telefoon verbonden. Als ik dit goed begrijp is er dus geen enkele kans op een spyware infectie door dit geheel?

Lenny77 @Ghostrider • 18 januari 2016 15:39

Zat je wel op Kiev Boryspil (KBP)?
Er zijn om en nabij Kiev twee luchthavens. Doorgaans wordt met Kiev Airport bedoeld 'IEV', soms met de toevoeging 'Zhulyany', wat echt in of tegen Kiev zelf aanligt. De malware was aangetroffen op Kiev Boryspil (KBP); om daar te komen vanuit hartje Kiev moet je de Dnjepr over.

arsimo @Lenny77 • 18 januari 2016 16:44

Op budgetmaatschappijen als Wizz-Air na vliegen de internationale maatschappijen die naar Kiev gaan in regel op Kiev Boryspil (KBP), o.a. dus ook drie keer dag vanuit Schiphol. Als buitenlander kom je dus op die laatste terecht behalve dus als je met Wizz Air vliegt of (soms) binnenlands vliegt.

SinergyX 18 januari 2016 13:14

Maar het is eigenlijk stiekem China die USA had gehacked, waarmee ze via USA naar Rusland zijn gaan hacken, om zo Oekraïne te kunnen hacken.

Manke 18 januari 2016 14:29

Hoe werkt dergelijke malware eigenlijk en hoe zijn ze in staat de systemen te infecteren?

Kabouterplop01 @Manke • 18 januari 2016 19:00

Ligt aan het doel van de malware; over het algemeen overschrijft het bestanden, maakt het nieuwe bestanden met nieuwe functies, waardoor de eigenschappen van de programmatuur anders functioneert dan oorspronkelijk de intentie van de programmatuur is.
In dit geval waarschijnlijk sabotage. Levensgevaarlijk lijkt me in geval van een kerncentrale saboteren.

Manke @Kabouterplop01 • 18 januari 2016 21:19

Maar dan moeten de malwareschrijvers toch precies weten hoe het systeem werkt?

Eminus @Manke • 18 januari 2016 23:07

en dat weten ze meestal ook.

Vaak worden er backdoors geïnstalleerd die door een Command & Control via de buitenkant kunnen worden aangestuurd om op bepaalde tijden taken te verrichten.

ChAiNsAwII 22 januari 2016 11:18

Een woordvoerder zegt...wij van wc-eend blah blah, al die uitspraken tegenwoordig, nooit geen bewijs.......

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (35)

Sorteer op:

Weergave: