Klein aantal Boeing-computers is getroffen door WannaCry-malware

Vliegtuigbouwer Boeing is woensdag getroffen door de WannaCry-ransomware, die vooral halverwege vorig jaar toesloeg. Volgens het bedrijf bleef de schade beperkt, hoewel een interne memo aanvankelijk anders deed vermoeden.

Een woordvoerder van het bedrijf zegt tegen de krant The Seattle Times dat uit een definitief onderzoek zou zijn gebleken dat de infectie beperkt was gebleven 'tot enkele computers'. "We hebben patches uitgevoerd. Er was geen sprake van onderbreking van ons 777-vliegtuigprogramma of andere programma's", aldus de woordvoerder. Ze weerspreekt de berichtgeving niet dat het ging om de WannaCry-malware. Het bedrijf maakt niet bekend hoe de infectie in eerste instantie heeft kunnen plaatsvinden. Mounir Hahad van Juniper Networks zegt tegen de krant dat het mogelijk is dat de originele WannaCry-malware op een computer aanwezig was zonder internetverbinding. Daardoor werkt de gevonden 'killswitch' niet. Als de computer wordt herstart, gaat het infectieproces door, aldus Hahad.

Een interne Boeing-memo, die kort na de eerste infectie was uitgestuurd en die door de krant was ingezien, schetste een ander beeld van de verspreiding van de malware. Zo schreef Mike VanderWel, chief engineer, in het document dat het een situatie voor 'alle hens aan dek was'. De infectie zou zich snel verspreiden en hij zou gehoord hebben dat de assemblagetools voor de 777-vliegtuigen offline waren gegaan. Bovendien sprak hij de angst uit dat de malware zich naar de vliegtuigsoftware zou kunnen uitbreiden, wat door de beveiligingsexperts die de krant sprak, als zeer onwaarschijnlijk wordt bestempeld. Het incident zou een respons als 'bij de batterijen' vereisen, waarmee VanderWel doelde op het probleem uit 2013 waarbij accu's van 787-toestellen vlam vatten.

Jake Williams van beveiligingsbedrijf Rendition Infosec, ook bekend als MalwareJake, zegt tegen de krant dat het incident bij Boeing niet op zichzelf staat en dat hij bekend is met drie andere gevallen met fabricagebedrijven, waarvan twee in de VS. In één geval duurde de uitval 24 uur, in een ander geval 96 uur. In beide gevallen zouden configuratiebestanden verloren zijn gegaan en moesten systemen opnieuw worden geïnstalleerd, zodat de productie kon worden hervat. Williams verwacht dat het Boeing-incident niet het laatste zal zijn.

De WannaCry-ransomware verspreidde zich snel in mei 2017 en trof verschillende internationale organisaties. Volgens de VS is Noord-Korea verantwoordelijk voor de verspreiding van de malware. Microsoft bracht in maart van vorig jaar patches uit voor de kwetsbaarheid waarvan WannaCry gebruikmaakt.

IT-banen

Reacties (44)

Keypunchie 29 maart 2018 11:32

Patchen, patchen, patchen.

Als het een standalone computer is, dan kan ik er nog iets mee, dat je niet patcht, maar dan zou het zich ook niet mogen verspreiden.

Vind het bizar dat anno 2018 er nog steeds bedrijven zijn waar standaard maandelijkse patchrondes *niet* gebruikelijk zijn. Je moet intussen echt moeite doen om patching *uit* te zetten voor de meeste software.

WienerBlut @Keypunchie • 29 maart 2018 11:51

Een stukje duiding: In de luchtvaart (en alle safety-critical omgevingen), is er altijd de controverse tussen Safety & Security. Waar je bij security eigenlijk het liefste dagelijks wil patchen, of wanneer het ook uitkomt, is het in safety-centric omgevingen omgekeerd: never touch a running system. Met rode wanna-cry schermen tot gevolg!

De hoofdreden waarom regelmatig patchen niet plaatsvindt is dat bij iedere systeemverandering er eindeloze testprocedures moeten worden gedaan. Deze kunnen makkelijk een jaar(!!) duren. Voor de liefhebbers; kijk eens bij Eurocae (ED-201/ED-202/ED-203/ED-204) https://standards.globalspec.com/std/9862360/eurocae-ed-202

En natuurlijk hoeft het systeem dat geinfecteerd was een airborn systeem te zijn; de safety mentaliteit zit in zo'n bedrijf.

Keypunchie @WienerBlut • 29 maart 2018 12:31

Een insecure systeem is ook niet safe is mijn mening.

Daarnaast is er inderdaad een groot verschil tussen de IT om de vliegtuigen te bouwen en de software van een vliegtuig zelf.

Ik snap overigens de gedachte en tweestrijd wel, dus zeker dank voor de duiding, maar daar zijn toch middengronden tussen te vinden?

Sowieso eerst Test&Acceptatie-systemen patchen, voordat je naar produktie gaat. Of gebruik maken van Staging-omgevingen.

Binnen bancaire systemen, waar het geen leven-en-dood is, maar ook zeer strikte regels zijn voor beschikbaarheid, is het ook niet ongebruikelijk om redundante systemen gefaseerd te patchen. Dus heb je meerdere servers in een HA-opstelling, dan kies je een rustig moment om wat servers uit de HA-opstelling te halen, te upgraden en weer terug te plaatsen. Als er problemen zijn, kun je ze altijd weer eruit halen en terugrollen. Na een week of twee, waarbij je zeker maakt dat er geen verstorende invloed is op produktie, doe je de volgende serie servers.

[Reactie gewijzigd door Keypunchie op 25 juli 2024 21:48]

it0 @Keypunchie • 29 maart 2018 12:38

Insecure, dus een makkelijk doelwit voor hackers en veilig, dwz zal het systeem ten alle tijden ingrijpen en een gevaarlijke incident voorkomen zijn 2 zaken.

Een standalone is vaak insecure. Waarom er niet gewerkt wordt met een HA opstelling, is omdat meestal de apparatuur achter de PC alleen enkelvoudig kan worden uitgevoerd, Denk aan een pomp of klep. Deze kunnen dan rechtstreeks zijn verbonden, waardoor een redundantie geen optie is.

Zoals @WienerBlut uitlegt, het is echt een andere wereld.

WienerBlut @Keypunchie • 30 maart 2018 14:22

Een insecure systeem is ook niet safe is mijn mening.

Hier heb je 100% gelijk! Wat heb je aan de specificatie van 99,99999% availability wanneer je door een simpel hackje toch down gaat

MrFax @WienerBlut • 29 maart 2018 13:13

Als je echt safety nodig hebt dan sluit je de computers niet aan het internet, en zorg je ervoor dat er geen USB gaten in de computers zitten.

d3burt

@MrFax • 30 maart 2018 15:57

Gebruikers zijn ontzettend creatief om toch virussen op computers te krijgen! Het feit dat de kill switch niet werkte laat zien dat het ding geen Internet toegang had. En als bijvoorbeeld een CNC machine via USB sticks moet worden geprogrammeerd kan je die poorten niet afsluiten.

CNC machines vliegen vaak onder de radar. Het zijn grote apparaten waar de PC in is verstopt, dus de gebruiker ziet het niet als een PC. Je wilt niet weten hoe slecht de software is die je soms aantreft op een CNC machine van een paar ton. Die software is soms zo brak dat het ding sterft als je er Windows updates op los laat.

Als dat laatste de oorzaak is, kan ik me zomaar voorstellen dat Boeing's security afdeling nu wat zwaarder gaan leunen op de leveranciers, en komt er toch nog wat goeds uit deze situatie

HADES2001 @Keypunchie • 29 maart 2018 11:50

Toen ik bij mijn huidige werkgever kwam deden ze ook niet aan maandelijks patchen. Nu elke maand na patch tuesday alles updaten. En voor alle laptops de group policy dat updates verplicht zijn en niet uitgezet kunnen worden.
Maar goed kan me voorstellen grote bedrijven met meerdere IT afdelingen dat wat lastiger coordineren. (Bij veel ITers krijg ik ook een 9-5 mentaliteit gevoel)

Sluuut @HADES2001 • 29 maart 2018 14:28

Wat heeft 9 tot 5 mentaliteit nou weer te maken met patches en computers die getroffen zijn door malware. Helemaal niets. Mensen worden betaald voor de uren die ze werken. Ik vind het niet meer dan normaal dat je niet meer dan dat werkt, want je word er immers niet voor beloond.

In 8 uur per dag passen bepaalde werkzaamheden voor 1 FTE, als er teveel werkzaamheden zijn dan betekend dat of je prioriteiten anders stellen (en dus waarschijnlijk andere zaken gaan voor op patches) of meer FTE wegzetten.

Het is geen oplossing om aan iedereen te vragen om ook buiten de betaalde uren te gaan werken. Het is leuk als sommige mensen daar zin in hebben en (meer) passie in het werk hebben, maar je mag het als werkgever niet standaard verachten van een werknemer.

HADES2001 @Sluuut • 29 maart 2018 15:16

Denk dat je 9-5 mentaliteit door de war haalt met overwerken.
Veel klanten van ons hebben een IT afdeling en die werken alleen van 9 tot 5, vervolgens komt de klacht "kan niet updaten want er word gewerkt en dan mag er geen downtime zijn"
ok maar wat houd je dan tegen om een keer 7 tot 3 te werken? of een keertje 11 tot 7?
Je uren blijven hetzelfde maar je kan wel je updates draaien.

ninjazx9r98 @HADES2001 • 29 maart 2018 22:22

De uren mogen dan wel hetzelfde blijven maar de ondersteuning van de IT afdeling blijft dat niet. Bij jouw voorbeelden is er dus geen of minder ondersteuning van 3 tot 5 of van 9 tot 11 wanneer er geen downtime mag zijn.
Dat oplossen heeft niets te maken met een 9 tot 5 mentaliteit maar alles met keuzes die 'de business' zal moeten maken. Dat kan met overuren maar ook met voldoende capaciteit zodat je met verschoven tijden (vroege en late shift) kunt werken en geen onderbezetting hebt tijdens de uren waar je niet plat kan/mag.
Dus een shift van 7 tot 3 en dezelfde dag een shift van 11 tot 7, dan heb je volle bezetting van 9 tot 5 en een kleinere bezetting voor en na kantooruren.

Verwijderd @Sluuut • 30 maart 2018 12:51

Wat heeft 9 tot 5 mentaliteit nou weer te maken met patches en computers die getroffen zijn door malware. Helemaal niets.

Wat het niet willen werken buiten reguliere kantoor tijden met patchen te maken heeft? Alles lijkt me?
Ik kan hier in ieder geval niet zomaar even om twee uur op de woesndagmiddag van alles gaan lopen rebooten omwille van a: de downtime die dat uberhaupt met zich meebrengt en b: de potentie dat het mis gaat en er nog meer downtime is.
Er is gewoon een impliciete verwachting dat ik dat buiten productie-uren doe, in mijn beleving is dat ook een beetje onlosmakelijk verbonden met het beroep. Zeker als je alleen bent.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 21:48]

slopert @Verwijderd • 30 maart 2018 14:34

Dat heb ik ook, onder kantoortijden geen downtime al is dat soms onvermijdelijk.
Updates doe ik dus op zondag op vooraf aangekondigde tijden.
De uren die ik dan maak, compenseer ik in de week erna.

bussie66 @HADES2001 • 29 maart 2018 14:06

Veel IT-ers 9 -5 mentaliteit gevoel?

Misschien bij het bedrijf waar jij werkt....

kipppertje @Keypunchie • 29 maart 2018 12:37

Je moet intussen echt moeite doen om patching *uit* te zetten voor de meeste software.

Dat valt mee, uitzetten kost je moeite, maar een kapotte WSUS configuratie maken is goed te doen

Fabbie @Keypunchie • 29 maart 2018 12:38

Helaas is dat bij enterprise bedrijven, met grote legacy systemen, vaak niet zo. Tevens hebben veel servers geen Internet verbinding waardoor deze niet zelf kunnen updaten.

Maar goed. Ik ben het wel volledig met je eens! Er moet altijd iets van een WDS/Satellite zijn met Internet toegang om de recente patches te kunnen verspreiden.

Verwijderd @Keypunchie • 29 maart 2018 21:41

Hangt er vanaf in welke wereld je leeft om het zo maar te zeggen. Ik werk in omgevingen waar Windows 98, XP, SCO Unix, Redhat 2 en oude versies van Solaris geen uitzondering zijn en allemaal in één netwerk zitten. Kan ook niet anders omdat de automatisering anders niet werkt. Het netwerk is verder wel afgesloten van de buitenwereld en fysieke toegang tot alles is beperkt tot een aantal personen.
Echter, er hoeft maar iemand een ongescande USB stick er in te stoppen en alles ligt plat.

kipppertje 29 maart 2018 11:25

Nu nog? Die patch voor EternalBlue is al bijna een jaar uit.

morten @kipppertje • 29 maart 2018 11:37

Niet om het goed te praten, maar soms is het lastig om dit soort zaken 100 procent te patchen. Wij hebben een relatief klein netwerk hier, maar uit een recente nexpose security scan hier bleek dat er nog 3 machine's vatbaar waren voor diezelfde wannacry. Dit terwijl we al een jaar geleden bij bekendmaking dachten alle machines te hebben gepatched.

Een was een oude rapportage windows 7 pc waarvan de updates niet goed meer draaiden.
Daarnaast was er nog een dumb terminal met embedded Windows 7 , die niet te patchen was. Mogelijk had dit met firmware opgelost kunnen worden, maar omdat de machine toch vervangen moest is daar niet voor gekozen.
De derde was een productie machine die uit het zicht was geraakt , maar nog wel actief in het netwerk stond en dus ook direct gepatched is.

Als dit voor kleine netwerken al het geval is dan is het voor grote netwerken helemaal een probleem.
Soortgelijke geautomatiseerde veiligheidsscans kunnen dan een hulpmiddel zijn om deze zwakheden te voorkomen.

tweaker2010 @morten • 29 maart 2018 11:59

Dit terwijl we al een jaar geleden bij bekendmaking dachten alle machines te hebben gepatched.
[...]
De derde was een productie machine die uit het zicht was geraakt , maar nog wel actief in het netwerk stond en dus ook direct gepatched is.

Misschien begrijp ik het verkeerd, maar hoe kun je een machine uit het zicht verliezen? Die dingen worden toch gemonitord in SCCM of op een andere manier? Alle oude of inactieve systemen die nog niet gepatched waren hadden allang in AD geblokkeerd moeten zijn lijkt me. En standalone systemen worden toch ook beheerd of kijkt daar niemand naar om?

morten @tweaker2010 • 29 maart 2018 13:03

In het MKB waar IT veelal bestaat uit 1 persoon-afdelingen ofwel in nog ergere gevallen erbij wordt gedaan door de hoofd boekhouder (Dat kom ook nog steeds voor ja) dan kan het inderdaad voorkomen dat er geen management systemen in plaats zijn en er inderdaad onbeheerde systemen in een netwerk hangen ja.

Overigens, zoals anderen ook wel melden hier mag je in die omgevingen wat anders verwachten als bij een Boeing uiteraard.

vali @morten • 29 maart 2018 11:46

Als dit voor kleine netwerken al het geval is dan is het voor grote netwerken helemaal een probleem.
Soortgelijke geautomatiseerde veiligheidsscans kunnen dan een hulpmiddel zijn om deze zwakheden te voorkomen.

Alle Unix systemen in een management portal zetten zoals Satellite (of de upstream variant Foreman) en Windows in soortgelijke tooling? Krijg je zeer gemakkelijk te zien of je bepaalde Errata mist. Mocht je dat voor wat voor reden niet hebben zou je met tools zoals Ansible je netwerk af kunnen gaan (ook Windows machines) of je bepaalde servers een update mist.

Mag serieus hopen dat men in grotere netwerken hun systemen niet met de hand configureerd en beheert en de juiste tooling ervoor gebruikt. Scans van Motiv of Fox-IT is leuk voor de manager zodat hij kan laten zien dat men "veilig" zijn, maar echt nodig is het echt niet hoor om je netwerk op orde te krijgen. In ieder geval niet als je hebt over de automatische scans die ze uitvoeren.

[Reactie gewijzigd door vali op 25 juli 2024 21:48]

kipppertje @morten • 29 maart 2018 11:53

Niet om het goed te praten, maar soms is het lastig om dit soort zaken 100 procent te patchen.

En dat is waarom je een solide vulnerability management proces inricht, zeker als je dingen voor defensie doet...

t link @morten • 29 maart 2018 12:02

dit is waarom je als bedrijf je eigen netwerk goed in kaart moet brengen en die kaart up to date moet houden. anders vallen dit soort dingen gewoon tussen de gaten door. Het maakt IT beheer zo veel makkelijker en externe partijen kunnen ook in een oogopslag zien hoe de vork in de steel steekt. uiteraard moet je dit niet voor jan en alleman zichtbaar maken want het laat ook je kwetsbare punten zien. toola voor in kaart brengen zijn bijvoorbeeld maltego en MISP, allebij erg krachtig en relatief eenvoudig te gebruiken.

dehardstyler @kipppertje • 29 maart 2018 11:34

Precies! Nou is het natuurlijk niet zeker dat ze deze exploit gebruikt hebben, maar mocht het wel die zijn, zegt dat heel veel over het beveiligingsbeleid van Boeing. Wie weet welke exploits je dan nog meer vind daar?

SunnieNL

@kipppertje • 29 maart 2018 12:06

Heeft te maken met de productie machines. Dat zijn machines die vaak niet zomaar gepatched mogen worden omdat een patch grote gevolgen kan hebben voor de software die er op draait.
Blijkbaar heeft de ransomware dus een overstap gemaakt van hun KA netwerk naar het Productie netwerk. Normaal zouden die twee gescheiden moeten zijn (maar komt langzaam steeds meer voor dat die wel gekoppeld worden, meestal met een dubbele firewall).
Machines in het productienetwerk zijn vaak niet gebouwd met security hoog op de lijst. Die moeten gewoon werken en omdat het altijd een gescheiden netwerk was, was het ook niet direct noodzakelijk om de security in de gaten te houden.

dutchgio 29 maart 2018 11:42

Het is nogal speculatie dat het om Wannacry gaat, dat is niet bevestigd. Alleen een 'malware uitbraak'. Dat kan van alles zijn.

Anonymoussaurus

Security

@dutchgio • 29 maart 2018 11:45

Mwah, ik weet niet of je het volgende als speculatie kan beschouwen:

Mounir Hahad van Juniper Networks zegt tegen de krant dat het mogelijk is dat de originele Wannacry-malware op een computer aanwezig was zonder internetverbinding.

dutchgio @Anonymoussaurus • 29 maart 2018 11:53

Omdat de killswitch die encryptie zou voorkomen een internetverbinding vereist.
Heb je die dus niet, dan gaat de encryptie alsnog door.
Ook zou die killswitch in latere versies er uit zijn gehaald.

He said the virus used to attack Boeing could have been one of these updated WannaCry versions.

Ook dat is een aanname. Daarna komt de quote die jij aanhaalt.
In het ogiginele stuk komt dat ook meer uit een algemene uitleg over Wannacry, nergens blijkt dat Boeing daar ook daadwerkelijk mee te maken heeft:
https://www.seattletimes....pple-some-jet-production/

Anonymoussaurus

Security

@dutchgio • 29 maart 2018 12:00

WannaCry heeft geen verbinding naar buiten nodig om zich te verspreiden. Dat gaat namelijk gewoon via het SMB protocol. Zo kun je alles als een aanname bestempelen. Het kan ook zijn dat toevallig die CSO nog nooit van WannaCry had gehoord. Er zijn tal van scenario's te bedenken.

Auteur

duqu @dutchgio • 29 maart 2018 12:26

Ik heb het artikel verhelderd. Boeing zegt niet expliciet dat het gaat om WannaCry, maar het spreekt dit ook niet tegen, terwijl het wel andere berichtgeving tegensprak.

Verwijderd @duqu • 30 maart 2018 20:15

Als dat nog in onderzoek ik zou ik dat ook in het midden laten als Boeing zijnde...

RoffaboyS 29 maart 2018 11:33

Slechte beveiliging hebben ze dan zeker nu omdat er een patch was.

anargeek 29 maart 2018 11:47

Hoewel ik er geen bevestiging van heb gelezen, gaan de theorieen dat dit nog kan gebeuren omdat het plaats vind in een airgapped netwerk. Bij de uitbraak van WannaCry vorig jaar werd heel snel een "killswitch"-domein gevonden (de malware pingt naar een url, als die niet bestaat gaat de malware encrypten) waardoor er niet meer versleuteld werd maar de malware zich nog wel verspreidde. WannaCry heeft namelijk geen internetverbinding nodig om zichzelf te verspreiden.
In het geval van een airgapped-netwerk, dus zonder directe verbinding naar het internet, zal deze killswitch-url nooit bereikt worden, en zal de encryptie dus altijd plaatsvinden. Dit zou verklaren waarom er nu nog versleuteld wordt, ondanks dat het killswitch-domein nog steeds actief is.

Het gevaar van een airgapped netwerk is ook dat men lakser kan zijn met het toepassen van patches (want er is geen directe verbinding met internet dus hoe wordt je besmet?). In dit geval kan WannaCry binnen zijn gekomen op andere manieren, zoals een besmette laptop die niet geransomwared is want de besmetting vond plaats op het moment dat de laptop met het internet verbonden was dus de killswitch werd bereikt. Neem vervolgens de laptop mee naar kantoor en het verspreid zich daarvandaan.

Tuurlijk zijn er patches en uiteraard zouden deze moeten zijn toegepast. Echter, er zijn tal van redenen waarom een bedrijf besluit om niet te patchen. Dit toont wel aan dat "niet patchen" enorme risicos meebrengt, juist in airgapped netwerken.

Luinwethion 29 maart 2018 11:52

Had ik even de datum moeten kijken, leek net alsof 1 april was.

Mooi dat de schade beperkt beleeft maar bizar dat we in 2018 nog over die malware hebben.

Als het bij Boeing niet goed was, hoeveel andere bedrijven zouden dan nog vatbaar zijn voor een wannacry aanval?

Verwijderd 29 maart 2018 12:31

Nou,
Wij hebben een paar duizend computers die we beheren met SCCM 2012.
Daarvan zijn er elke maand wel een tiental bij die niet updaten.
Meestal is dat omdat de drive vol zit en soms omdat de SCCM client corrupt is.
De gebruikers moeten dan benaderd worden en vaak zijn het van die snelle pakken types die altijd op pad zijn en nooit tijd hebben.
Ook gaan er elke maand mensen in of uit dienst waarvan de laptop vervolgens in een kast beland.
Die laptop wordt soms enkele maanden later pas weer gebruikt (want ze zijn van onze afdeling en niet van de IT afdeling, bla bla). Dus die laptop loopt dan ook achter met updates, die ze in de loop van de week natuurlijk dan wel krijgen.

Dus dat is de reden dat we niet kunnen garanderen dat alles voor 100 procent gepatched is.
Eigenlijk moet je daarom NAP of NAC gaan inrichten en daar zijn we ook mee bezig (je komt in een afgescheiden netwerk terecht totdat je machine up to date is met updates, antivirus, etc).

Maar ik geef ook toe dat als je na een jaar nog die update niet hebt gerold, dat je je dan wel achter de oren mag krabben als IT manager.

tweaker2010 @Verwijderd • 29 maart 2018 13:29

Devices die langer dan 30 dagen niet op het netwerk inloggen horen mi sowieso geblokkeerd te worden in AD. Dat is bij de meeste bedrijven zo geregeld dmv policies. Iemand die lange tijd (meer dan een maand) op vakantie of verlof is geweest steekt dan vanzelf zijn vinger op dat hij niet meer kan inloggen.

Itrme @Verwijderd • 29 maart 2018 14:44

Worden dergelijke laptops die van een andere gebruiker komen dan niet opnieuw geinstalleerd en geupdate voor ze naar de volgende gebruiker gaan?

himlims_ 29 maart 2018 11:26

Volgens de VS is Noord-Korea verantwoordelijk voor de verspreiding van de malware.
Volgens de EU is het Rusland geweest
Volgens de Chinezen zaten de Israëliërs erachter