'Modulaire Industroyer-malware richt zich op substations hoogspanningsnetten'

Beveiligingsbedrijf ESET heeft een nieuw soort ics-malware ontdekt, die het zelf Industroyer noemt. De malware richt zich specifiek op substations van hoogspanningsnetwerken en is in staat om de controlesystemen over te nemen en gegevens te wissen.

Volgens ESET, dat een whitepaper over de malware heeft gepubliceerd, is de malware in staat zich aan verschillende doelwitten en omgevingen aan te passen. Hoewel het onderzoek naar de internetaanval op het energienetwerk in Oekraïne, die in december vorig jaar plaatsvond, nog niet volledig is afgerond, zegt het bedrijf dat deze waarschijnlijk met Industroyer is uitgevoerd. Dat leidt het bedrijf onder meer af uit de gebruikte technieken en een activation timestamp, die is vastgelegd op de dag van de aanval.

ESET gaat ervan uit dat de makers van de malware 'diepgaande kennis hebben van industriële controlesystemen en vooral van de protocollen van stroomsystemen'. Dergelijke kennis zou niet mogelijk zijn zonder directe toegang tot de apparatuur waarvoor de malware is bedoeld. De makers maken gebruik van verschillende protocollen uit vier standaarden, waaronder IEC 60870-5-101. Daaruit zou dan ook het gevaar van de malware voortkomen, doordat deze in staat is om direct switches en stroomonderbrekers aan te sturen. De gebruikte protocollen zijn volgens ESET tientallen jaren geleden ontwikkeld, zonder aandacht voor beveiliging.

De Industroyer-malware valt uiteen in verschillende onderdelen. Zo is er een hoofdcomponent aanwezig in de vorm van een backdoor, die alle andere modules aanstuurt. De component maakt verbinding met een c2-server op het Tor-netwerk via https en kan op die manier commando's van de aanvallers ontvangen. De backdoor heeft een functie om in te stellen dat hij alleen op bepaalde uren van de dag functioneert, mogelijk om detectie te voorkomen. De backdoor heeft verschillende functies, zoals het uitvoeren van processen, het downloaden van bestanden en het uitvoeren van een shellcommando.

Voor het geval dat de eerste backdoor wordt ontdekt, is er een tweede backdoor beschikbaar in de vorm van een kwaadaardige versie van Notepad. Een ander onderdeel is de launcher, die verschillende payloads kan uitvoeren en ervoor kan zorgen dat bestanden worden gewist door het begin van een bestand te overschrijven. Verder zijn een port scanner en een dos-tool aanwezig. Die laatste heeft tot doel een Siemens Siprotec-apparaat uit te schakelen.

Volgens ESET heeft de kwaadaardige software geen overeenkomsten met de BlackEnergy-malware, die werd gebruikt bij een aanval op het Oekraïense energienet in december 2015, een jaar voor de aanval met Industroyer.

Lees meer

Nieuwste IT Banen

IT trainingen bij Computrain

Reacties (27)

+1 Patrick-
12 juni 2017 17:42

Ondanks de zekeringen bij de trafo's lijkt me het toch riskant als er in eens een heel hoop uitgeschakeld wordt, sommige centrales kun je niet even stop zetten omdat de boel er achter uit is. De centrale zal dan toch de energie kwijt moeten, deze zal de energie dan via andere wegen weg gesluist moeten worden, mits dat nog kan.

+2 Vintage Freak
@Patrick- • 12 juni 2017 18:04

Je krijgt dan een enorme spanningspiek.

De responsetijd zal lang zijn.
kerncentrales scrammen vanzelf (bij de geringste afwijking stopt de kernreactie door neutronen absorberende materialen tussen de actieve elementen te laten zakken.

wat een olie, gas of kolencentrale doet in zo'n acuut geval weet ik niet.

alle systemen zijn echter gebaseerd op stoom aangedreven turbines dus afblazen lijkt me de snelste optie.

MadMan
@Vintage Freak • 12 juni 2017 18:22

Die control rods zakken erin, dat gebeurd niet binnen 0.03s zoals bij een aardlek maar met maximaal 8cm/s in een moderne reactor. Alle reactors die op ons leefgebied invloed zouden kunnen hebben zijn inmiddels zo goed als bejaard.
Er moet voldoende tijdreserve zijn om dat te kunnen doen en als je alle verbruikers in een klap uitschakelt (of een groot aantal ervan) dan kan het best gebeuren dat ze niet snel genoeg zakken en je alsnog een meltdown krijgt.

+2 Vintage Freak
@MadMan • 12 juni 2017 19:24

Nee je krijgt dan niet perse een meltdown, die krijg je als de koeling ontoereikend is en de reactorstaven smelten.

Wat er wel gebeurt is dat de generatoren hun belasting kwijtraken en mogelijk daardoor op hol slaan.
De aandrijvende turbines zouden hiervan mogelijk ook schade kunnen oplopen.

Door het onmiddellijk afblazen van de stoom zet je de boel meteen stil.
De reactor kan gewoon blijven verhitten en zal dan wat later tot rust komen door het stoppen van de reactie.
Intussen heb je een heleboel stoom die de lucht ingaat.

[Reactie gewijzigd door Vintage Freak op 12 juni 2017 19:28]

+1 cefas

12 juni 2017 15:40

Het is natuurlijk al jaren bekend dat ICS systemen zoals SCADA erg slecht beveiligd zijn en dat het een kwestie van tijd en veel geld was totdat er een "opvolger" van stuxnet kwam.

Alleen vraag ik me af welke instantie en/of georganiseerde misdaad zou hier achter zitten ..... dit is namelijk niet iets wat je op een zolder kamer in elkaar knutselt

[Reactie gewijzigd door cefas op 12 juni 2017 15:43]

Krystalize
@cefas • 12 juni 2017 16:23

Het is niet zo zeer een 'opvolger' van Stuxnet. Die was gericht en had een vooraf gedefinieerde functie; het vertragen en beschadigen van het uraniumverrijkings process van de twee installaties in Iran. Het had hele specifieke instructies ingericht om dit te bewerkstelligen. (Wired - Countdown to Zero Day)

Dit lijkt meer een delivery platform voor een soortgelijke aanval. Een tool om gemakkelijk jouw nieuwe malware te kunnen inzetten.

Zoals met al de genoemde ICS protocollen gaat het niet om het breken van het protocol zelf (de 104 specificatie is beschikbaar van IEC voor een kleine 280 euro). Het gaat erom wat je ermee doet. Een populair gedachte experiment is het hacken van een Verf Fabriek. Wat je doet bepaalt of het een ludieke grap is, of dat je door het mixen van bepaalde chemicaliën en/of overdruk genereren in pijpen fysieke schade kan doen aan structuren en/of personen.

Daarvoor zal je goed moeten kijken wat voor controle signalen er binnen de fabriek (target) worden gebruikt, en waar ze voor bedoeld zijn. Daarna zal je nog de gewenste situatie moeten creëren, en dat alles zonder dat een monitoring systeem door heeft wat je doet. Dit is wat Stuxnet zo goed deed, en waarom het wordt gezien als het eerste cyberweapon.

Bas_f
@cefas • 12 juni 2017 15:51

Ik vermoed (ex-)werknemers die veel kennis hebben van de gebruikte protocollen. Kennelijk zien ze brood in het ontwikkelen van deze malware.

Wat ik vooral erg interessant vind is dat ESET hele stukken machinetaal heeft geanalyseerd. Ik zie hier comments bij staan. Ik vraag mij dan altijd af of ESET dat gedaan heeft tijdens het uitpluizen, of dat ze de originele source code ergens hebben weten op te duikelen. In beide gevallen: respect. Zeker voor het zo (relatief) belangeloos publiceren van zo'n uitgebreid whitepaper.

+1 YopY
@Bas_f • 12 juni 2017 15:59

Ik vermoed (ex-)werknemers die veel kennis hebben van de gebruikte protocollen. Kennelijk zien ze brood in het ontwikkelen van deze malware.

Zeker, dit zijn cyberwapens waar meerdere landen (in het geheim) belang bij zouden hebben en veel geld voor over hebben.

(id)init
@Bas_f • 12 juni 2017 16:07

Machinetaal analyseren kun je zelf ook.
Een veel gebruikte disassembler is IDA van hex rays, er is een gratis versie voor niet commercieel gebruik beschikbaar.

https://www.hex-rays.com/products/ida/support/download.shtml

+1 dasiro
@Bas_f • 12 juni 2017 16:39

zoals je zelf schreef is het belang relatief: als AV-bedrijf wil je natuurlijk bewijzen wat voor expertise je in huis hebt. Als dit soort artikels wordt gelezen door relatieve leken, dan zullen die zoiets hebben van "wow die weten wel van aanpakken" en kiezen misschien ervoor om hun hele omgeving te migreren naar hun software, wat op dat moment cashen is voor de "belangeloos" gepubliceerde whitepaper.

OrangeTux
@Bas_f • 12 juni 2017 16:00

Ze hebben de malware gedecompiled.

0 TheekAzzaBreek
@Bas_f • 12 juni 2017 22:29

Dat stukje source code dat ze laten zien is waarschijnlijk meer een artists impression (of bluf). Gecompileerde software is niet zo maar naar keurige C code terug te decompileren, als de aanvallers geen klassieke beginnersfouten hebben gemaakt. De rest van de voorbeelden zijn dan ook gewoon in assembler. Als ze broncode hadden gehad zag dat er heel anders uit.

Deakers
12 juni 2017 15:39

Bijzonder...
Dit is namelijk geen industroyer! het het is een deactivator.
Een industroyer zou zorgen voor kortsluiting in de substations / transformatoren zodat er nieuw gemaakt moeten worden, waardoor je er voor zorgt dat een groot gebied (afhankelijk van je succes van de aanval) voor een lange termijn zonder stroom komt te zitten.

+1 Vintage Freak
@Deakers • 12 juni 2017 15:42

Kan niet.
Die trafo's zijn afgezekerd en die "zekeringen" zijn failsafe.

mijn hele jeugd heb ik het testen ervan mogen aanhoren hier in arnhem...kilometers ver

De Zoete Lab bij de Kema....
...WHAM

edit
afschakelen kan natuurlijk wel maar heeft er iemand al eens gedacht over inschakelen?

hypothetisch:
oekraïne die de rekening weer eens niet betaalt aan de russen en vervolgens de afgeschakelde stroomvoorziening gewoon weer aanzet...

just my €0,02

Comments welcome

[Reactie gewijzigd door Vintage Freak op 12 juni 2017 18:06]

Morgan4321
@Vintage Freak • 12 juni 2017 17:25

VZIW zit het financiele aspect tussen Rusland en de Oekraiene vooral in het niet betalen van gas door de laatste. Als Rusland geen gas meer levert kun je het stroomnet wel aanzetten maar als de centrales geen gas meer krijgen (ik weet eigenlijk niet waar de Oekraiense centrales op draaien, gas of kolen denk ik) maakt dat weinig verschil.

0 Vintage Freak
@Morgan4321 • 12 juni 2017 17:28

Chernobyl......

Maar het was dus niet speciaal op oekraïne gericht maar als idee...
als je met een virus kunt afschakelen kun je ook inschakelen.
lees de hele besturing overnemen....
en daarmee dus van alles veroorzaken..

[Reactie gewijzigd door Vintage Freak op 12 juni 2017 17:30]

Morgan4321
@Vintage Freak • 12 juni 2017 17:55

Ja, na Tsjernobyl zal het aandeel kernenergie wel flink teruggelopen zijn.

+1 robvanwijk

Beheer en beveiliging

@Vintage Freak • 12 juni 2017 18:46

Chernobyl

Beetje bij de tijd blijven alsjeblieft: daar wordt al bijna twintig jaar geen electriciteit meer opgewekt; de laatste reactor is in 2000 stilgelegd. Op dit moment worden reactor 1 t/m 3 gedecommissioned, reactor 4 (de "bekendste", om er maar even een eufemisme tegenaan te gooien) heeft afgelopen jaar een nieuwe overkapping gekregen (google "New Safe Confinement").

0 Vintage Freak
@robvanwijk • 12 juni 2017 19:26

Ik ben volledig bij de tijd en zelfs betrokken geweest bij de nieuwe kap van chernobyl. (Mammoet)

De opmerking is toch duidelijk cynisch lijkt me....

0 robvanwijk

Beheer en beveiliging

@Vintage Freak • 13 juni 2017 01:51

De opmerking is toch duidelijk cynisch lijkt me....

Dat had ik er niet uitgehaald. Voor mij klonk het als een serieus en letterlijk antwoord op Morgan4321's "ik weet eigenlijk niet waar de Oekraiense centrales op draaien". Mogelijke oorzaak: een tijdje geleden nog iemand helemaal gek zien worden toen ie erachter kwam dat de andere drie reactoren na de ramp in gebruik zijn gebleven. Dan is het makkelijk te geloven dat iemand denkt dat ze nu nog steeds draaien.

Ik ben volledig bij de tijd en zelfs betrokken geweest bij de nieuwe kap van chernobyl. (Mammoet)

Aan jou en al je collega's: goed werk, dankjewel!

Basszje
@Vintage Freak • 12 juni 2017 17:18

Oekraine haalt geen electriciteit uit Rusland. Alleen gas en kolen. Er zijn namelijk nog een stapeltje kerncentrale's hier

https://en.wikipedia.org/wiki/Zaporizhia_Nuclear_Power_Plant

itlee
12 juni 2017 18:37

Stel je voor dat we ons allemaal electrisch verplaatsen straks, (auto's/vrachtwagens/vliegen) en dat electriciteit het nieuwe olie wordt....

Alles lekker centraal, (paar energie centrales) per land/continent.

En dan verzint er iemand een gestructureerde aanval op energiecentrales, geen electra is geen vervoer. Ook noodaggregaten zijn straks niet meer op diesel/benzine (er is immers geen olie meer)....

En dan kan je wel N+1 doen, maarja als je dat niet gaande kan houden....

'T wordt wat in de toekomst....

+1 elmertje
@itlee • 12 juni 2017 20:44

Decentraal is juist de trend. Iedereen zijn eigen energie opwekken en dus ook voor bijvoorbeeld je eigen auto.

0 L-VIS
@itlee • 12 juni 2017 20:02

Dan zou ik dit boek eens lezen als ik jou was: https://www.bol.com/nl/p/...68/?suggestionType=browse. Het scenario wat jij schetst is dichterbij dan je misschien kan denken.

0 sympa
@itlee • 12 juni 2017 21:20

Zonder elektriciteit doet de benzinepomp het ook niet hoor. En bederft de etensvoorraad. En krijg je niks meer uit een (geautomatiseerd) magazijn.

Zonder elektriciteit gaan elektriciteitscentrales uit.

Zonder elektriciteit gaat het leven niet door zoals we gewend zijn.

0 Vintage Freak
@sympa • 13 juni 2017 09:18

mmmmm

Ik hou het wel een weekje vol met mijn Kiportje

+1 HighVoltage
12 juni 2017 17:55

Ik begrijp ook niet dat we ineens alle oude hardware op afstand bestuurbaar willen maken. Het is
blijkbaar onveilig en de energiebedrijven zijn er al van oudsher op ingesteld om rond te rijden en met de hand te schakelen. Dit is nog steeds het begin van de werkdag, elke dag.
Het uitlezen van relevante data kan ik begrijpen.
Het wordt nog gevaarlijker nu de beveilging (hoogspannings zekering/automaat) op afstand programmeerbaar is, wat tegenwoordig meer regel dan uitzondering is. Dan kan je er voor zorgen dat er een veel groter gebied uitvalt (staffeling met tijden en stroomwaardes ongedaan maken door letterlijk 3 naar een 300 te veranderen bijvoorbeeld).
Nee de tijd dat je bang moet zijn voor die ene greenpeace activist die binnenkomt en op een knop drukt is voorbij, de glasvezel staat open terwijl de deur op slot zit...

[Reactie gewijzigd door HighVoltage op 12 juni 2017 18:42]

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers