'Tot nu toe verborgen gebleven hackergroep richt zich op energiesector Oekraïne'

Beveiligingsbedrijf ESET heeft onderzoek gepubliceerd naar een tot nu toe verborgen gebleven hackergroep, die het aanduidt als GreyEnergy. Deze groep zou zich voornamelijk op Oekraïne richten en geïnteresseerd zijn in de energiesector, mogelijk in voorbereiding op een aanval.

In een blogpost en een bijbehorend whitepaper schrijft ESET dat het aanwijzingen heeft dat GreyEnergy een van de opvolgers is van BlackEnergy, een groep die voor het laatst in 2015 actief zou zijn geweest. Die groep werd in verband gebracht met de toen uitgevoerde aanval op de stroomvoorziening in Oekraïne, waarbij honderdduizenden mensen zonder stroom kwamen te zitten. Na die aanval zou de groep in tweeën zijn gesplitst. Een van die groepen duidt ESET aan met de naam TeleBots, hoewel die ook de naam Sandworm kreeg toegedicht. De tweede, nieuwe groep is GreyEnergy en volgens ESET werken de twee groepen nauw samen. Het verschil is dat GreyEnergy zich meer richt op spionage en verkenning, terwijl TeleBots verantwoordelijk zou zijn voor aanvallen als NotPetya, BadRabbit en Industroyer.

ESET merkte GreyEnergy in 2015 op toen de groep een energiebedrijf in Polen in het vizier had. De groep zou zich echter voornamelijk op Oekraïne richten, met name op energiebedrijven, de transportsector en andere 'doelwitten met grote waarde'. Mogelijk heeft de groep tot taak om voorbereidend werk uit te voeren voor komende aanvallen, aldus het Slowaakse beveiligingsbedrijf. GreyEnergy maakt gebruik van phishing, waarbij een Word-document met malware naar doelwitten wordt verstuurd. Een tweede manier om organisaties binnen te komen is het binnendringen van een webserver om vervolgens een poging te doen om van daaruit verder het interne netwerk in te komen.

In het geval van phishing bevat het Word-document een macro waarmee een kleine backdoor wordt binnengehaald, genaamd GreyEnergy Mini. Ook wordt er een externe afbeelding binnengehaald, waarmee de aanvallers kunnen zien of het document is geopend. De backdoor haalt vervolgens zoveel mogelijk informatie over het systeem van het doelwit binnen en verstuurt deze via http of https naar de command and control-server van de GreyEnergy-groep. Vervolgens wordt de daadwerkelijke 'flagship'-malware binnengehaald, die een modulaire structuur heeft. Zo kunnen de aanvallers de module binnenhalen die het meest geschikt is voor het behalen van een bepaald doel.

GreyEnergy-modules — De modules en hun functie

ESET merkt op dat een van de verzamelde monsters van deze malware gebruikmaakte van een gestolen certificaat van het Taiwanese bedrijf Advantech, dat industriële apparatuur bouwt. Daarmee zou GreyEnergy in de voetstappen van Stuxnet treden. De malware zou bovendien maatregelen bevatten om analyse te bemoeilijken.

Het beveiligingsbedrijf biedt geen attributie in zijn analyse, waardoor het geen uitspraak doet over welk land er mogelijk achter GreyEnergy verscholen gaat. BlackEnergy of Sandworm is in het verleden in verband gebracht met Rusland, onder meer door Duitsland. De Britse regering schreef onder meer Sandworm toe aan de Russische militaire inlichtingendienst GROe. Recentelijk publiceerde ESET onderzoek waarin het verband legde tussen Industroyer en NotPetya.

Schematische weergave van GreyEnergy-methodes

Reacties (103)

Joepla @280562 • 17 oktober 2018 14:53

De laatste keer dat ik in een kerncentrale was (bij onze Franstalige zuiderburen), heb ik heel kort een blik mogen werpen in de controlekamer. Is alweer een jaar of 7 geleden denk ik. Maar ik herinner me nog altijd heel goed het jaren '70 gevoel dat ik toen had. Lichtbruine/beige metalen consoles met knipperende gloeilampjes all over the place. Soort Simpsons-centrale eigenlijk

Het zou me verbazen dat je daar ook maar ergens een USB stick of een ethernetkabel in kan prikken. Men vertrouwt daar extreem op bewezen techniek en "even iets moderniseren" in de kritische delen is een traject dat erg lastig is en zeer lang kan duren.

Kritische sturingen/beveiligingen zijn ook veelal in oer-techniek uitgevoerd (relais bv.). Geen halfgeleiders, PLC's e.d. Allemaal spul dat bij bv. een EMP stuk gaat.

[Reactie gewijzigd door Joepla op 27 juli 2024 07:53]

MCvarial @Joepla • 17 oktober 2018 15:54

Dat is correct voor apparatuur met een nucleaire veiligheidsfunctie.

Maar men mag niet vergeten dat een kerncentrale veel meer is dan dat, het grootste gedeelte is nog steeds een gewone elektriciteitscentrale waar vergaande digitalisering normaal is. Zie bijvoorbeeld de foto bij het artikel ter illustratie hoe het eruit ziet bij de zuiderburen: https://www2.l3t.com/mapps/en/media-releases/2018-05-15.html

bbob @Joepla • 17 oktober 2018 16:24

Oud is niet gelijk slecht.

Het punt blijft een kerncentrale mag niet aan het internet hangen, wel een het stroomnet.
Iedere pc die gebruikt wordt voor de besturing of verbinding heeft met plc zou geen usb of iets anders mogen hebben. Helaas is de praktijk anders.

Joepla @bbob • 17 oktober 2018 16:33

"Oud is niet gelijk slecht."

Volledig mee eens... Mijn reactie is dan ook zeker niet zo bedoeld.

AW_Bos

@280562 • 17 oktober 2018 14:18

Ik denk ook niet dat ze direct aan het internet hangen, maar met RAT's en onvoorzichtigheid van personeel (phishing) kan je aardig wat doen. Ik denk dat ze liever via een VLAN de boel op afstand willen beheren, dan vele malen lopen door de centrale en op de knopjes in de centrale zelf drukken.

[Reactie gewijzigd door AW_Bos op 27 juli 2024 07:53]

280562 @AW_Bos • 17 oktober 2018 15:46

Waarom een VLAN ? Een VLAN is niks. Een paar bytes in de header van een ethernet-frame.

Als je kritieke apparatuur met elkaar moet verbinden, leg dan een apart netwerk aan. Aparte kabels, aparte switches en routers. En geen gateway er tussen. Alle servers en PCs die je hebt moeten kiezen: of aan het geisoleerde "veilige net" of aan het semi-publieke bedrijfsnetwerk dat met het Internet verbonden is. Misschien moet je zelfs zo ver gaan dat je op iedere kamer/ruimte in je pand moet kiezen: of een UTP-aansluiting op het ene net, of op het andere. Nooit beide in dezelfde ruimte. Dan moet je echt met PCs gaan slepen naar een andere kamer om te switchen (of lange UTP-kabels over de gang).

Een beetje discipline mag je toch wel verwachten in zo'n omgeving.

Tadango @AW_Bos • 17 oktober 2018 14:27

Bij een goede organisatie zit het proces controle netwerk gescheiden van het office netwerk en de buitenwereld. Het controle netwerk kan wel uitwisselingen doen met het office netwerk (voor productie data deling edg) maar dat is eenrichtings verkeer. Verbindingen worden altijd tot stand gebracht via strikte firewall regels. Het is erg lastig als hacker van buitenaf om daar nog doorheen te komen. Daarnaast zou een goede security afdeling gecompromitteerde computers snel genoeg moeten identificeren zodat hackers nooit lang te tijd hebben. Zo werkt het tenminste bij mijn klant.

MCvarial @Tadango • 17 oktober 2018 14:52

Sommige communicatie moet ook in 2 richtingen kunnen geschieden, denk bijvoorbeeld aan productie setpoints van hoeveel vermogen de centrale moet maken of hoeveel reactief vermogen ze moet maken.

nvaert1986 @MCvarial • 17 oktober 2018 15:06

Dit kunnen ze ook van een set in een get veranderen met een poll i.c.m. zeer korte interval. De beste oplossing in dit soort geval is een externe firewall en interne firewall (beide stateful) i.c.m. gescheiden VLAN's en zowel interne- als externe DMZ. Dit is voor zulke bedrijven zeker geen overbodige luxe, maar wordt helaas veelal beperkt in geinvesteerd.

MCvarial @nvaert1986 • 17 oktober 2018 15:13

Dat is nog steeds communicatie in twee richting, data wordt aan de hand van de get overgebracht naar de centrale. Als deze data op 1 of andere manier gemanipuleerd wordt, denk het overnemen van de server die de setpoints geeft. Kan je een centrale bijvoorbeeld haar productie laten reduceren terwijl het net meer productie nodig heeft en op die manier een blackout veroorzaken. Uiteraard zijn er de nodige beveiligen om dit te voorkomen maar niets is waterdicht. Hacking is nu éénmaal een risico van ons modern elektriciteitsnet.

Tadango @MCvarial • 17 oktober 2018 15:18

Gelukkig zitten er in onze systemen mensen achter de knoppen die setpoint moeten bevestigen. Niets gaat zonder menselijk toezicht. Dat zal in de meesten zijn hoop ik. Voor invullen kan prima automatisch maar er is altijd een menselijke eind controle nodig.

MCvarial @Tadango • 17 oktober 2018 15:22

Als een setpoint remote bevestigd wordt dan is het nog steeds kwetsbaar aan manipulatie.

Tadango @MCvarial • 17 oktober 2018 15:23

Uiteraard NIET remote maar fysiek door iemand achter een computer in het besturing domein.

MCvarial @Tadango • 17 oktober 2018 15:26

Ook die computer is kwetsbaar, zelfs de PLC die het commando uitvoert. En in de elektriciteitssector is de volledige besturing vaak remote.

Tadango @MCvarial • 17 oktober 2018 15:29

Mensen zijn ook kwetsbaar. Het gaat er alleen om hoe makkelijk ze van buitenaf bereikbaar zijn. Een office domein is altijd kwetsbaar. Daar moet je geen belangrijke apparatuur aan koppelen.

Remote betekend niet altijd gekoppeld aan internet. Er zijn meer manieren om systemen op afstand aan elkaar te koppelen.

o2g2 @Tadango • 17 oktober 2018 19:54

De menseljke factor, Tsjernobyl ging de lucht in door menselijk falen.

nvaert1986 @MCvarial • 17 oktober 2018 16:00

Maar het verkeer is stateful, dus je kunt van A naar B, maar het bijbehorende verkeer dat terug dient te gaan kan ook weer van B naar A, binnen z'n state. Om te voorkomen dat de data gemanipuleerd wordt dien je dan ook of checksums uit te voeren, die bij iedere transactie untiek zijn. Soort van TOTP token zeg maar i.c.m. hash.

MCvarial @nvaert1986 • 17 oktober 2018 16:03

Uiteraard zijn er verschillende beveiligingen voorzien waar ik niet dieper op in zal gaan.
Maar niets is 100% hacking proof, zelfs niet air gapping van systemen.

NBK @MCvarial • 17 oktober 2018 21:21

Die communicatie kan perfect via analoge signalen. Sturing met 4-20mA is een veel gebruikte methode waar geen virus doorheen komt.

MCvarial @NBK • 17 oktober 2018 23:34

Maar niemand zal een 4-20mA door het land of door Europa trekken, wat trouwens ook perfect "hackbaar" zou zijn. Dus moet je gebruik maken van bestaande netwerken die veel veiliger zijn.

NBK @MCvarial • 18 oktober 2018 20:36

Je kunt je kritisch apparatuur aansturen met een 4-20mA signaal. Bijvoorbeeld de energie vraag uit het net doorsturen van het deel dat wel aan internet hangt naar het deel wat de centrale in bedrijf houd.
De energie vraag komt bij het centrale gewoon binnen via het 'internet' vanuit het instituut wat de netbalans in de gaten houd. Daarna stuur je dit analoog door naar de apparatuur waarmee je echt je centrale aanstuurt.
Het kan eventueel ook digitaal maar dan via een simpel RS485 protocol achtig wat niet meer toestaat dan het verzenden van een getal van de ene gateway naar de andere.

Maar hoe je het ook wendt of keert je bent in de huidige energie sector gewoon afhankelijk van internet.
Het energie net bestaat niet uit een handje vol centrales maar uit honderden/duizenden centrales. En die zijn lang niet allemaal in handen van partijen die perse 100% het beste voorhebben.
Al die centrales werken ook nog eens op een andere manier, zijn soms wel en soms juist niet afhankelijk van omgevingsfactoren.
Je heb steeds minder klassieke centrales en steeds meer dingen als windmolens, zonneparken, WKK installaties. En in de toekomst komen daar ook nog (piek)opslag-centrales bij en worden grote afnemers steeds beter stuurbaar. Denk ook aan conversie fabrieken waar energie omgezet word in grond- en brandstoffen. (H², Methaan etc.) Misschien gaan we wel cokes voor de staalindustrie produceren door letterlijk de O² van de C in CO² af te halen.

GrooV @Tadango • 17 oktober 2018 15:28

Hoe kan je eenrichtingsverkeer met TCP doen? Je kan misschien aan 1 kant alle poorten dicht zetten maar het verkeer zal toch 2 kanten op moeten gaan (request/response). Overal is een oplossing voor, een reverse shell bijvoorbeeld als je moet verbinden. Zelfs met een proxy er tussen kan je contact met de buitenwereld maken

[Reactie gewijzigd door GrooV op 27 juli 2024 07:53]

280562 @GrooV • 17 oktober 2018 15:51

Aan die flauwekul moet je niet eens beginnen.

Beveiligers denken altijd "slimme oplossingen" te hebben voor moeilijke problemen. Om alles "makkelijker" te maken. Maar na verloop van tijd komen er anderen (criminelen, hackers, of zelfs mensen van binnen) die nog slimmere trucjes bedenken. En dan ben je de sigaar. De enige oplossing: een heel rigide design bedenken. In dit geval dus met "airgaps". Twee aparte domeinen die niet met elkaar verbonden zijn. Dan moet soms iemand iets overtikken. Of een paar knoppen met de hand indrukken. Maar uiteindelijk een stuk safer.

lezzmeister @GrooV • 17 oktober 2018 22:03

Datadiodes zijn er toch echt voor goede beveiliging. Er zijn manieren.

Jhonnijhoff @Tadango • 17 oktober 2018 15:14

Inderdaad (mainframe) principe, helaas is de incompetentie bij beveiligers groot ! verplicht naar ;
https://hackademics.fr/

aadje93 @AW_Bos • 18 oktober 2018 12:23

Een LCD werkt vaak direct op plcs en heeft geen internet verbinding nodig.

Xm0ur3r @280562 • 17 oktober 2018 14:23

Dat zou behoorlijk dom zijn als ze dat daadwerkelijk deden, maar kun jij mij een voorbeeld geven van een kerncentrale waar ze dat doen? Aangezien ik uit je zin interpreteer alsof ze dat al ergens doen, maar kan hier niet zo snel zelf een voorbeeld van vinden op het internet, anders zou ik mij ook een beetje zorgen gaan maken ja.

[Reactie gewijzigd door Xm0ur3r op 27 juli 2024 07:53]

MCvarial @Xm0ur3r • 17 oktober 2018 14:50

Veel elektriciteitscentrales zijn verbonden met het internet. Zo kunnen ze onmiddellijk reageren op marktsignalen wat steeds meer in realtime moet gebeuren door onder meer de opkomst van hernieuwbare energie en het liberaliseren van de elektriciteitsmarkt. De meeste gascentrales worden bijvoorbeeld volledig op afstand bestuurd.

Xm0ur3r @MCvarial • 17 oktober 2018 15:29

Ja dat klinkt ook wel logisch, echter gaat het hier over een kerncentrale

MCvarial @Xm0ur3r • 17 oktober 2018 15:32

Wat op zich geen enkel verschil maakt ten opzichte van een gascentrale. Het gedeelte om elektriciteit op te wekken heeft niets te maken met nucleaire veiligheid en kan/mag dus gewoon aangesloten worden op het internet mits de nodige beveiligingen. Het gedeelte met een nucleaire veiligheidsfunctie uiteraard niet en is een veel centrales gewoon analoog uitgevoerd.

Xm0ur3r @MCvarial • 17 oktober 2018 15:56

Ik denk dat hij het over het laatste heeft, althans dat idee krijg ik wel.

280562 @MCvarial • 17 oktober 2018 15:51

Ik geloof je direct.
Ik word alleen een beetje bang als ik aan zo'n design denk. Wat een prutsers. Winst boven veiligheid stellen.

MCvarial @280562 • 17 oktober 2018 15:56

Op zich zijn hier enkel financiële risico's mee gemoeid als je bijvoorbeeld door een hacking de productietargets niet haalt en een andere centrale moet overnemen. Worst case scenario moet de netbeheerder verbruikers gaan afschakelen om het net stabiel te houden wat een uitbater veel geld zou kosten.

Maar veiligheidsgebonden zaken zijn uiteraard niet verbonden met het internet. Er is daar ook geen reden toe.

bantoo @280562 • 17 oktober 2018 14:23

Dit is te simpel gedacht. Net als Stuxnet in het verleden is het niet nodig om een directe link te hebben naar een systeem dat je wil infecteren. Ieder apparaat wat fysiek in de buurt kan komen van een systeem waar je het op gemunt hebt kan gebruikt worden met genoeg wilskracht. Het is niet heel moeilijk om in te denken wat voor dingen kunnen voortvloeien uit een baliemedewerker die een word bestandje opent.

280562 @bantoo • 17 oktober 2018 15:55

Werd stuxnet niet binnengebracht door een geinfecteerde USB-drive met speciale malware ? Airgap is noodzakelijk. Maar niet genoeg. Je moet ook andere potentiele paden beschermen (zoals het verwijderen van USB-aansluitingen bv). Allemaal niet makkelijk. Maar wel noodzakelijk als je veiligheid serieus neemt.

MCvarial @280562 • 17 oktober 2018 14:46

Heel veel elektriciteitscentrales zijn verbonden met het internet. Marktsignalen worden via het internet verzonden waarop centrales moeten kunnen reageren om het net stabiel te houden. De tijd waar dit nog kon met louter telefoontjes en een beperkte hoeveelheid frequentieresponsie is lang voorbij. Met de komst van hernieuwbare energie moet er constant realtime gereageerd worden gezien louter frequentieresponsie niet langer volstaat of betaalbaar is.

De meeste gascentrales worden zelfs volledig van op afstand bestuurd vanuit een centrale locatie. Als je met een kerncentrale wil deelnemen aan die marktwerking dan moet je ze ook aan het internet hangen. Wat op zich even gevaarlijk/ongevaarlijk is als een gascentrale aan het internet hangen. Een hack kan je productie in gevaar brengen en dus ook het elektriciteitsnet wat een financieel risico is. Maar voor de nucleaire veiligheid is er verder geen invloed.

280562 @MCvarial • 17 oktober 2018 15:42

Lekker design dan.

MCvarial @280562 • 17 oktober 2018 23:36

Hoe denk je dat andere markten werken? De elektriciteitsmarkt is niets uniek als je realtime moet communiceren tussen verschillende landen en regio's moet je een netwerk gaan gebruiken.

PolarBear @MCvarial • 17 oktober 2018 17:09

Als je met een kerncentrale wil deelnemen aan die marktwerking dan moet je ze ook aan het internet hangen.

Het verschil tussen een kerncentral en een gascentrale is de snelheid van op- en afschalen. Een kerncentrale is daar in principe slecht geschikt voor, een kerncentrale is veel beter geschikt voor een base-load.

MCvarial @PolarBear • 17 oktober 2018 17:17

Wij hebben zowel gascentrales als kerncentrales en veel van onze gascentrales zijn veel minder snel in het moduleren dan onze kerncentrales.

U moet weten dat een kerncentrale eigenlijk gewoon een stoomturbine is waarbij de stoom gemaakt wordt door een solid state object zijnde de reactor. In een gascentrale moet je een stoomketel gaan opwarmen met een gasturbine (een straalmotor) om vervolgens nog een stoomturbine aan te drijven.

Dus waar je in een kerncentrale eigenlijk gewoon met de beperkingen zit van de stoomturbine en reactor. Zit je in een gascentrale met de beperkingen van je stoomturbine, ketel en gasturbine.

Zo kunnen gascentrales niet zo diep moduleren als kerncentrales. Met een kerncentrale kan je zakken tot een vermogen van 15% terwijl je met een gascentrale al moet stoppen op 30 of 40% omdat de thermische spanningen in je ketel te groot worden en je de milieunormen rond NOx niet haalt met je branders op lage vermogens. Qua snelheid van modulaties zijn nieuwe gascentrales vergelijkbaar met kerncentrales en kunnen ze moduleren aan zo'n 5%/min. Voor oudere gascentrales ligt dit lager.

En toch verkiezen we er voor om te gaan moduleren met gascentrales voor de heel simpele reden dat die enorm duur aardgas verstoken. Dus als je een centrale moet uitzetten dan geef je altijd eerst de voorkeur om een gascentrale te stoppen, ookal kunnen ze hier minder goed tegen dan kerncentrales. Het is pas wanneer alle gascentrales gestopt zijn (behalve must runs) dat we gaan moduleren met kerncentrales.

Aardedraadje

@280562 • 17 oktober 2018 14:20

Infecteer een PC van een sysadmin, of van de baliemedewerk(st)er en je bent binnen in het bedrijf. Vanuit daar kun je het bedrijf op andere manieren aanvallen. Het hoeft helemaal niet via besturingsapparatuur te verlopen. Slechts een voorbeeld: steel documenten met toegangscodes tot het gebouw, of over de werking van de centrale. Dan kun je fysieke aanvallen uitvoeren.

well0549 @Aardedraadje • 17 oktober 2018 15:06

Ik denk niet dat een hacker uit zijn stoel komt om fysiek naar die centrale te gaan

Aardedraadje

@well0549 • 17 oktober 2018 15:45

Een hacker wellicht niet, maar de partij die de hacker betaalt misschien wel.

iew @Aardedraadje • 17 oktober 2018 14:27

Wanneer er geen kerncentrales zouden bestaan zijn ze ook nooit een risico.
Het zijn en blijven gruwelijk gevaarlijke objecten die op geen enkele manier met het internet verbonden zouden moeten zijn.

Liever helemaal niet bestaan.

MCvarial @iew • 17 oktober 2018 14:56

Kerncentrales blijven wel de veiligste vorm van energieopwekking die we hebben.

Er moet ook onderscheid gemaakt worden tussen systemen die een veiligheidsfunctie hebben en systemen die dat niet hebben. Turbines waarmee de elektriciteit wordt opgewekt hebben bijvoorbeeld geen veiligheidsfunctie en mag je perfect aan het internet hangen om deel te nemen aan de markt. Net zoals dat gedaan wordt met gascentrales, kolencentrales, windturbines etc. Veiligheidssystemen mogen niet aan het internet zonder fysieke scheiding. En in de praktijk zijn dergelijke systemen meestal gewoon analoog uitgevoerd.

Skyrunner @MCvarial • 17 oktober 2018 15:32

Ik weet niet precies wat jij bedoelt met een 'veiligheidsfunctie', maar even vanuit mijn (industriële automatiserings-) hoek gezien, een turbine heeft zeker wel een safety, overspeed om maar iets te noemen.

Doorgaans worden dergelijke processen geregeld middels een onafhankelijke safety PLC, maar hoe dat exact zit bij kerncentrales weet ik niet.

MCvarial @Skyrunner • 17 oktober 2018 15:41

Ik ben zelf een automatiseringsingenieur actief in de energiesector, momenteel in kerncentrales.

Met veiligheidsfunctie bedoel ik een nucleaire veiligheidsfunctie. Er is inderdaad ook de klassieke industriële veiligheid dat in SIL4 moet uitgevoerd worden in het geval van oversnelheidsbeveiliging van turbines. Maar dit systeem staat los van de turbineregeling die beslist hoeveel vermogen de alternator maakt in netgekoppeld bedrijf. Dit is inderdaad uitgevoerd met een veiligheids PLC die op zich al voldoet aan SIL4 maar er zijn ook mechanische beveiligingen. Deze beveiligingen maken het regeloliesysteem van de regelkleppen drukloos waardoor ze naar hun safe positie gaan door middel van veren. De turbineregeling heeft daardoor de mogelijkheid niet meet om de kleppen te bewegen. Vandaar dat deze geen klassieke veiligheidsfunctie heeft.

Skyrunner @MCvarial • 17 oktober 2018 15:48

Bedankt voor de uitleg, altijd interessant om te lezen.

Ik zit in een "iets" andere hoek van de industriële automatisering/beveiliging :-)

SRich @MCvarial • 17 oktober 2018 16:22

Hoe krijgt jij het voor elkaar om te beweren dat een turbine aan het internet mag hangen. Weet je überhaupt wel wat een turbine doet.

En ja ik ben met je eens dat kerncentrales veilige centrales zijn. Zolang er maar geen experimenten uitvoeren ofzo.

Om je een kleintje beetje inzicht te geven hoe een thermische energiecentrale werkt:
Kolen, Olie en Gas gestookte centrale en vloeibare zout/PWR en AWBR kerncentrale hebben allemaal dezelfde manier van het opwekken van elektrische energie.

Alle centrales verwarmen ketelwater tot een gegeven temperatuur en druk(bij gestookte centrales gebeurd dat door een verbrandingsreactie en bij kerncentrale door de het primaire onder superkritische druk staande circuit)en zodra dat bereikt is heb je hoge druk stoom. Die stoom drijft een hogedrukturbine aan die samen met meerdere midden en lage druk turbines aan een 3 fasen generator zitten. De afgewerkte stoom kan nog een keer terug door warmtebron(fornuis/primaire circuit) en maakt daar midden druk stoom van en die gaat naar de volgende turbine. En vaak gaat de uitlaat van de middendruk turbine naar de lagedruk waar het laatste restje energie er uit gehaald word (vandaar dat die turbines ook groter zijn dan HD/MD turbines) . Dan word het restant gekoeld en gaat het inmiddels weer als water terug naar de warmtebron. De energie die omgezet is uit de generator word aan 380 kV~ net gevoerd en dat gaat naar de verbuikers.

Mocht je een gasturbine(GT) hebben dan verbrand je vaak gas of olie en daarmee drijf je direct een as aan waar naast de compressor en turbine ook de generator aan gekoppeld zit. Vaak kan je met de restgassen van een GT nog een stoomketel verwarmen die op zijn beurt weer een stoomturbine kan aandrijven of warmte aan andere objecten kan leveren.

Dus nee, turbines mogen niet aan het internet hangen. Ze zijn namelijk een wezenlijk onderdeel van de energieopwekking.

[Reactie gewijzigd door SRich op 27 juli 2024 07:53]

MCvarial @SRich • 17 oktober 2018 16:38

Als automatiseringsingenieur in de elektriciteitssector weet ik maar al te goed hoe een elektriciteitscentrale werkt en weet ik maar al te goed hoeveel centrales aan het internet hangen en hoeveel centrales er zelfs gewoon vanop afstand bestuurd worden, vooral STEGs. Een centrale op afstand besturen is uiteraard niet mogelijk zonder gebruik te maken van internet. En bij centrales die niet vanop afstand bestuurd worden komen de vermogen setpoints ook gewoon van de dispatching wat betekent dat die centrales evengoed aan het internet hangen.

Bij een kerncentrale waar ik dagelijks aan de knoppen zit keert de stoom trouwens niet terug naar de "ketel" stoomgeneratoren in dit geval. Maar wordt de stoom oververhit in de de MSR's (moisture seperator reheater). Kerncentrales worden niet remote bestuurd maar hebben wel verschillende regelmodes waarbij ze ofwel een opgelegd productieprogramma volgen dat telefonisch wordt doorgegeven (moduleren). Of ze reageren automatisch om de frequentie van het net op basis van een programma dat de operator instelt (frequentiesturing), als de netfrequentie daalt gaan ze bvb meer vermogen gaan genereren. Of de operator kan instellen dat ze een productieprogramma volgen die de dispatch voorschrijft. Bij dit laatste wordt er dus wel degelijk gebruik gemaakt van internet.

SRich @MCvarial • 17 oktober 2018 16:47

$_/-\o_$ $_/-\o_$ $_/-\o_$
STEG, WWK

$_/-\o_$ $_/-\o_$
Gelukkig ik dacht al.

Maar jij weet netzo goed als ik dat bij kerncentrales en gestookte centrales de turbine regeling alleen voor speedcontrol is. Zodra de generator/alternator aan het net hangt loopt het mee met de 50 Hz van het net(loadcontrol). Afhankelijk van het net en het gewenste vermogen word niet de turbine aangestuurd maar de warmtebron. Dus bij een kerncentrale de regelstaven en bij gestookte centrale de brandstofkleppen.

het net is leidend en zolang het net up is bepaald het net wat je genset levert, en lever je te weinig omdat je te weinig stoom levert dan zal als het goed is je gen-net koppeling trippen op negative net input.

Bedankt voor een leuk gesprek op niveau $_/-\o_$

MCvarial @SRich • 17 oktober 2018 17:01

Nou bij een PWR bepalen de regelkleppen hoeveel vermogen er geproduceerd wordt door de reactor en niet de de regelstaven.

Als ik op 90% vermogen sta met mijn kerncentrale kan de dispatch perfect vragen aan de turbineregeling om naar 100% te gaan. Hierdoor zullen de regelkleppen meer stoom vragen van de stoomgeneratoren waardoor de reactor afkoelt. Door deze afkoeling zal de reactor meer vermogen produceren doordat het water in dichtheid toeneemt, dit heet een negatieve moderator temperatuur coëfficiënt en is 1 van de grootste veiligheidsfeatures van een PWR. Het enige wat de controlestaven doen is de temperatuur van de reactor beïnvloeden om zo ideale stoomcondities (druk, temperatuur) te behouden. Het vermogen dat de reactor produceert wordt echt volledig bepaald de turbineregeling welke geen veiligheidsfunctie heeft.

De reactor is namelijk voorzien van een reactorbeveiligingssysteem dat de reactor automatisch stopt wanneer er een parameter buiten het normaal operationeel domein van de reactor gaat. Zo is het perfect mogelijk dat de turbineregeling zou falen en plotseling 150% vermogen van de reactor zou vragen en de reactor zou dat ook effectief leveren mocht het reactorbeveiligingssysteem de reactor niet stoppen en de turbine niet isoleren.

Dus ja de turbine die computergestuurd is en zelfs aan het internet kan hangen bepaald hoeveel vermogen de reactor produceert maar we rekenen op het redundant uitgevoerde beveiligingssysteem dat volledig analoog is uitgevoerd om de reactor te stoppen en de turbine te isoleren wanneer die onrealistische dingen vraagt.

iew @MCvarial • 17 oktober 2018 15:21

Die veiligheid is ook maar relatief/schijn, zeker met al die terroristische dreigingen vandaag de dag.
Voor mij hoeft het allemaal niet, is gewoon mijn mening.

MCvarial @iew • 17 oktober 2018 15:23

Een mening die verder wel niet overeen komt met de feiten.

iew @MCvarial • 17 oktober 2018 15:32

Dat het levensgevaarlijke troep is, is gewoon een feit.

MCvarial @iew • 17 oktober 2018 15:33

De reinste onzin, https://www.nextbigfuture...per-terawatt-hour-by.html

Anoniem: 1128097 @iew • 17 oktober 2018 14:38

Dan heb je dus liever kolencentrales waardoor de omgeving bezaait wordt met fijnstof en radioactieve deeltjes, en de CO2 uitstoot omhoog gaat.

Er is een te groot propaganda van misinformatie aanwezig die tegen kerncentrales zijn.

iew @Anoniem: 1128097 • 17 oktober 2018 15:18

Dat zeg ik toch helemaal niet ? Van mij had kernenergie en alle nuclear troep nooit uitgevonden hoeven worden.
Misinformatie heeft er niets mee te maken, het is en blijft gevaarlijk spul, te gevaarlijk naar mijn mening.
Mag ik die mening hebben ?

sorted.bits @iew • 17 oktober 2018 15:21

Yup, dat mag, maar dan heb je ook geen chemo therapie tegen kanker. Misschien ooit nodig in je leven (of dat van je naasten). Een fijn en levensreddend bijproduct misschien?

Daarnaast zijn de kerncentrales van nu anders dan Tjernobiel. Nog steeds is er wel een risico, maar anders dan 30 jaar geleden.

iew @sorted.bits • 17 oktober 2018 15:30

"Een fijn en levensreddend bijproduct misschien?"

Daar valt ook nog over te discussieren, en fijn ? wellicht wat onhandig geformuleerd.
En levensreddend geldt ook niet voor iedereen.

Maar goed ik heb mijn mening er over gegeven, ik heb liever dat het verdwijnt uit de wereld.
Wanneer dat soort troep in verkeerde handen valt is het eind zoek.
Ik weet zeker dat je wel begrijpt wat ik bedoel zonder dat we hier een diepgaande discussie over hoeven te voeren.

ShellGhost @iew • 17 oktober 2018 14:41

Een auto ook. Je punt is dus??

iew @ShellGhost • 17 oktober 2018 15:18

Ik heb geen auto.

ShellGhost @280562 • 17 oktober 2018 14:42

Wie zegt dat dat zo is? Jij? Werk je daar? Heb je meer info over die bewering?

mphilipp @280562 • 17 oktober 2018 16:24

Misschien moet je een keer de documentaire film 'Zero Day' kijken. Die computers in de centrale zijn natuurlijk air-gapped. Maar zoals de NSA/CIA/FBI meneer in diezelfde docu zegt: "Daar lachen wij om". Op enig moment moet er een Siemens monteur naar die centrale om bv firmware te updaten of andere onderhoudswerkzaamheden uit te voeren. Daarvoor neemt ie zijn (uiteraard beveiligde) laptop me. Maar het is voor die instanties veel makkelijker om iemand van Siemens te besmetten of zelfs te infiltreren dan die centrale rechtstreeks te hacken. Je kunt bv die monteur op een of andere manier een besmette USB stick geven en dat zodanig camoufleren dat hij echt niet kan zien dat ie iets naars binnen hengelt.

Daarom denkt/weet men dat er overheden achter dit soort aanvallen zitten. Het is anders heel erg moeilijk om aan de kennis te komen over die apparatuur, en om organisaties als Siemens te infiltreren oid. Overheden kunnen van alles doen, certificaten uitgeven, security screenings accorderen (zij hoeven ze niet te vervalsen) en meer van dat soort veiligheidsmaatregelen omzeilen. Gewoon omdat ze overheid zijn en zelf de goedkeurende instantie.

Het kan nooit een simpel hackgroepje zijn van een stel puistige tieners die zich vervelen. De mannen van Kaspersky hadden zelf ook grote moeite om Stuxnet te ontcijferen en te begrijpen wat het was dat het probeerde aan te vallen. Totdat iemand die toevallig in de industriele automatisering zat bepaalde codes herkende en zei dat het Siemens controllers waren. Toen werd duidelijk wat het ding deed.

procyon @280562 • 17 oktober 2018 14:23

Maar dat hoeft toch niet? Was STuxnet ook via het internet binnengekomen?

Je kan bijvoorbeeld inbreken en een rootkit installeren op 1 van de engineers zijn thuiscomputer. Hij zal daar nooit iets van merken. De eerst volgende keer als hij een USB stick gebruikt is het netwerk "op de zaak" geinfecteerd.

Vrij makkelijk.

Zo maakt finland zich zorgen over de huizen naast de vliegbasissen die momenteel bewoond worden door Russen. (op het zicht keurige immigranten met een net bestaan). Het vermoeden bestaat dat ze sleepers zijn en in de nacht voorafgaand aan een aanval, alle piloten in hun slaap ombrengen waardoor de luchtmacht effectief helemaal lam gelegd is.

w0nnapl4y @procyon • 17 oktober 2018 14:28

Interessant over de finnen, heb je hiervan een goede bron?

Tokkes @w0nnapl4y • 17 oktober 2018 14:47

Nou wil ik niet zeggen of het waar is of niet, maar het lijkt mij een gegronde dosis wantrouwen om het als Ministerie van Defensie alleszins als een mogelijk scenario te beschouwen. Daarom nog niet een waarschijnlijk scenario.

procyon @Tokkes • 17 oktober 2018 16:24

https://www.independent.c...les-blocked-a7578601.html

Ze blokkeren nu al actief de verkoop van grond / sites rondom militaire sites.

Hoewel het artikel zegt dat er "plannen" zijn, is het artikel vrij oud dus ga er maar vanuit dat dit inmiddels beleid is.

The Zep Man

Beveiliging en antivirus
Security
Hackers
Malware

@procyon • 17 oktober 2018 14:37

Maar dat hoeft toch niet? Was STuxnet ook via het internet binnengekomen?

Je kan bijvoorbeeld inbreken en een rootkit installeren op 1 van de engineers zijn thuiscomputer. Hij zal daar nooit iets van merken. De eerst volgende keer als hij een USB stick gebruikt is het netwerk "op de zaak" geinfecteerd.

Dus effectief was StuxNet via het Internet binnengekomen. Dat de interne verspreiding niet enkel via computernetwerken ging maar ook via een menselijk netwerk doet daar niets aan af.

Waarom wordt geaccepteerd dat een engineer dezelfde USB stick gebruikt op zijn thuiscomputer en op een computer in het veilige netwerk? Waarom accepteert die computer op het werk überhaupt USB sticks (die men ook vanuit huis naar binnen kan meenemen)?

[Reactie gewijzigd door The Zep Man op 27 juli 2024 07:53]

batjes

Security

@The Zep Man • 17 oktober 2018 14:49

Omdat diagnostische tests, configuraties uitlezen of laden. Redenen genoeg te verzinnen. Er is uiteindelijk altijd ergens wel een verbinding naar buiten toe.

Men gaat de bitjes niet handmatig flippen.

Znorkus @procyon • 17 oktober 2018 14:42

Wacht even, zit ik hier in een James Bond film uit de tijd van de koude oorlog of *slapt zichzelf in het gezicht* is het nog steeds 2018 en ben ik op mijn werk, in een pauzetje wat op t.net aan het surfen?

Russen die huizen opkopen rondom vliegvelden waar dan geheime spionnen cq terroristen (een soort Tanja's uit Red Alert?) jarenlang wonen, ondertussen alle adressen van alle piloten verzamelend, en als ze dan een seintje krijgen via hun in de kelder achter een geheime wand verstopte Rode Telefoon van het Kremlin 'Njets Khabisz Kapulska! It's on tonight!' dat ze dan langs de kinderkamer sluipen, hun geheime high-tech missiepak aantrekken, en met koordjes en andere slinkse stille samurai-manieren de volledige airport security omzeilen en alle piloten omleggen, en oh ja ook nog alle piloten die in een straal van 10km wonen? En dat ze dan terug-appen: 'Gramutz slotzi kwap!', en dat de satanische Poeten dan schaterlachend op zijn andere Rode Knop drukt en dat de bommenwerpers (of de laserbeam vanuit de ruimte!!) gnuivend op Brussel gericht wordt!!

Man man dat zou een mooie film zijn.

Anoniem: 51637 @Znorkus • 17 oktober 2018 15:11

Man man dat zou een mooie film zijn.

Te laat

En, zoals wel vaker, is de realiteit bizarder dan fictie...

Flamesz @procyon • 17 oktober 2018 14:30

Interessant verhaal over die sleepers, heb je daar ergens een bron van om er iets meer over te kunnen lezen?

wildpicture @procyon • 17 oktober 2018 14:53

Die methode van het aanvallen van vliegers is absoluut niet nieuw en ook absoluut niet verzonnen. In de 80-er jaren (midden in de koude oorlog) werd hiervoor al gewaarschuwd tijdens speciale lessen op de officiersschool. In Nederland zou dit uitgevoerd kunnen worden door groepen van de spetznats die in burger zouden opereren.

Overigens ook apart dat Oost-Duitse vrachtwagens (met een paar extra antennes) toen opvallend vaak een lekke band kregen vlak in de buurt van de vliegbasis en het wisselen dan erg lang duurde.

HMC @procyon • 17 oktober 2018 14:35

Zo maakt finland zich zorgen over de huizen naast de vliegbasissen die momenteel bewoond worden door Russen. (op het zicht keurige immigranten met een net bestaan). Het vermoeden bestaat dat ze sleepers zijn en in de nacht voorafgaand aan een aanval, alle piloten in hun slaap ombrengen waardoor de luchtmacht effectief helemaal lam gelegd is.

Really?

Is het nu al zover met de russofobie?

Uiteraard is de nieuwe soort die hier ontdekt is vanuit Rusland afkomstig (NSA, via simpele IP-spoof

), maar je kan ook echt te ver gaan in je denkwijze.

raro007 @HMC • 17 oktober 2018 14:49

dus jij vind het niet raar dat er op zo'n belangrijk plek vol met russen zit?

HMC @raro007 • 17 oktober 2018 14:51

Niet echt. Behalve als je echt denkt dat ze een aanval aan het voorbereiden zijn.
Maar dat durf ik te betwijfelen.

procyon @HMC • 17 oktober 2018 16:39

Nee, je hebt gelijk. Deze dingen doen ze niet.
Pas als er een directe noodzaak ontstaat zullen ze gaan beginnen met het uitdenken en uitvoeren van deze initiatieven.

Goed, nu even serieus, Putin wil graag wat opties op tafel hebben liggen om in te kunnen inzetten als de dag ooit komt dat ze nodig zijn.

Dat is volstrekt nogmaal en dat doen meer landen. Het heeft dan ook niets met Russofobie te maken.

HMC @procyon • 17 oktober 2018 16:49

Dat Rusland zich volledig op cyber warfare heeft gestort en probeert overal en nergens binnen te dringen, wil ik nog wel aannemen. Net zoals andere mogendheden dat doen trouwens.

Maar dat ze een fysieke aanval voorbereiden op "Het Westen" is gewoon een bizar hersenspinsel.
Dat gaat echt te ver, sorry.

procyon @HMC • 17 oktober 2018 17:15

Russische agenten die infiltreren in het buitenland is een bizar hersenspinsel?

Natuurlijk proberen ze alles, natuurlijk willen ze infiltreren in de overheid / bedrijfsleven met als doel het verkrijgen van macht.
Ze proberen zelfs (!) het Wifi netwerk te hacken om info te vergaren bij het OPCW in Den Haag, de organisatie tegen verspreiding van chemische wapens! Ze gaan op pad met 50K aan geld en specialistische hacktools en gaan doodleuk voor de ingang de boel staan hacken.

Het moet niet brutaler worden.

Dit is daarom ook aan de grote klok gehangen zodat zelfs wij ervan weten. Maar als een spion binnen een belangrijk overheids orgaan in de kraag wordt gegrepen hoor je daar natuurlijk niets over op het avondnieuws. Dat wil niet zeggen dat dit wel degelijk gebeurd.

Interessant artikel zodat je niet alleen mijn woorden hoeft te geloven.
https://www.businessinsid...t-sleeper-agents-2017-12/

Dit samen met het artikel dat Finland al niet meer toestaat dat 'buitenlanders' bezit verkrijgen vlakbij militaire installaties moet je toch wel een aardige indicatie geven over de ernst van de situatie.

HMC @procyon • 17 oktober 2018 17:25

Je had het erover dat je vreest dat Rusland serieus overweegt een inval te doen met tanks en dat soort spul. Te beginnen in Finland, door hun luchtmacht uit te schakelen.

Geloof je dat nu echt?

CivLord

@raro007 • 18 oktober 2018 09:17

dus jij vind het niet raar dat er op zo'n belangrijk plek vol met russen zit?

Luchtmachtbasis = belangrijke plek. Dat klopt.
Het is ook een plek waar regelmatig een bak herrie wordt geproduceerd waardoor het een zeer impopulaire plek is om in de buurt te wonen. Resultaat is dat de daar gebouwde woningen relatief goedkoop zijn en binnen het bereik van arbeidsmigranten vallen.

TheekAzzaBreek @procyon • 17 oktober 2018 15:42

Zo maakt finland zich zorgen over de huizen naast de vliegbasissen die momenteel bewoond worden door Russen. (op het zicht keurige immigranten met een net bestaan). Het vermoeden bestaat dat ze sleepers zijn en in de nacht voorafgaand aan een aanval, alle piloten in hun slaap ombrengen waardoor de luchtmacht effectief helemaal lam gelegd is.

Jaha, als je sleepers inzet ga je die vooral vlak naast het doelwit plaatsen.
Nou denken we sinds de laatste maanden wel wat anders over de kwaliteit van russische spionnen dan vroeger, maar zo dom? Kan ik maar moeilijk geloven.

Trouwens, Finland heeft 55 gevechtstoestellen, en niet bepaald moderne. Waarom zouden die Russen zich daar zorgen over maken?

InsanelyHack @280562 • 17 oktober 2018 18:04

Dat is niet hoe het werkt. Ik heb in een documentaire gezien dat men pc’s hackt. Dit zijn allemaal secundaire systemen die nodig zijn om een efficiënte energievoorziening te kunnen garanderen. Vervolgens maakt men schermprintjes en slaat deze op. De malware vertoont dan op een ander moment wanneer de attacker dat wenst schermprints met een correcte conditie van bv het koelwater of een druk ventiel of energie verdeling etc. Door deze schermen te vermengen met de werkelijkheid kan je dus een degradatie niet tijdig zien waardoor hele ketens noodzekelijk om de centrale draaiende te houden uit kunnen vallen en niet zozeer de centrale zelf.

Kain_niaK @280562 • 17 oktober 2018 18:23

Stuxnet ging van de laptops van engineers die voor Iran werkte naar hun thumb drives. En via die thumb drives zijn de computer besmet geraakt. Computers die niet met Internet verbonden zijn.

MrMonkE @280562 • 17 oktober 2018 20:00

Hackers. Heel erg.

Weet je wie ze echt in de gevangenis moeten gooien ?
Mensen die de besturingsapparatuur van een kerncentrale aan een netwerk hangen dat verbonden is met het Internet. Hoe dom kun je zijn ? Crimineel dom, imho.

Je hebt principe in gelijk.
Dit soort installaties zou volledig autonoom moeten zijn en er zou geen enkele verbinding met de buitenwereld mogenlijk moeten zijn via het netwerk van de centrale. Ook niet via firewalls.
Compleet afgesloten, niets delen intern. 2 galvanisch gescheiden netwerken.

WhatsappHack

Security
Beveiliging en antivirus

17 oktober 2018 14:17

"Beveiligingsbedrijf ESET heeft onderzoek gepubliceerd naar een tot nu toe onontdekte hackergroep"

Lol, dat klinkt haast alsof er een nieuwe diersoort is ontdekt ergens diep in het (digitale) regenwoud. Lees ook meteen het artikel met de stem van David Attenborough

Denk dat er ontiegelijk veel groepjes zijn waar we niets van weten. Die vallen veelal ook even hard weer uit elkaar om elders te hergroeperen als er iets mis gaat.

SuBBaSS @WhatsappHack • 17 oktober 2018 15:22

Inderdaad.

Maar dan staat er verderop in het artikel dat Eset de groep al in 2015 had opgemerkt.
Does not compute..

Maar goed, dat is wel vaker met berichten over (een van-) deze actoren.

Verder lijkt me toch wel dat eset 'hier' ook wat mee gaat doen?

defixje @WhatsappHack • 17 oktober 2018 14:24

Ja ik vind deze bewoording ook een beetje vaag.

Auteur

duqu @WhatsappHack • 17 oktober 2018 14:43

Hm, nu ik 'm met hetzelfde stemmetje heb gelezen heb ik toch maar naar een andere titel gezocht.

bluegoaindian @WhatsappHack • 17 oktober 2018 15:03

"Beveiligingsbedrijf ESET heeft onderzoek gepubliceerd naar een tot nu toe onontdekte hackergroep"

Lol, dat klinkt haast alsof er een nieuwe diersoort is ontdekt ergens diep in het (digitale) regenwoud. Lees ook meteen het artikel met de stem van David Attenborough

https://www.youtube.com/watch?v=ndMKTnSRsKM

TLW077 17 oktober 2018 15:29

Deze hackers hebben vooral politieke beweegredenen om deze kerncentrales als targets te gebruiken. Dit doen ze al jaren, echter verbeteren ze gebruikte strategie. Daarbij komt nog eens kijken dat deze centrales in tegenstelling tot dat van Nederland, erg slecht softwarematig zijn beveiligd.

Buiten dit leuke tech nieuws is het meer marketing / PR voor ESET om wat meer in beeld te komen, niet relevant met wat er in NL gebeurd.