Nieuwe Russische malware is mogelijk bedoeld voor aanval op elektriciteitsnetten

Onderzoekers van cybersecuritybedrijf Mandiant hebben een malware ontdekt, CosmicEnergy genaamd, die mogelijk bedoeld is om elektriciteitsnetten en andere kritieke infrastructuren mee te verstoren. De onderzoekers linken de malware aan de Russische Federale Veiligheidsdienst.

Volgens het onderzoek kan de malware worden gericht aan remote terminal units die voldoen aan de IEC-104-standaard. Die worden vaak gebruikt voor de elektriciteitsvoorziening in Europa, het Midden-Oosten en Azië, schrijft Mandiant. De malware kan OT-systemen infiltreren door reeds gehackte mssql-servers uit te buiten. Vervolgens kan CosmicEnergy de rtu's van afstand manipuleren door commando's te geven via de Lightwork-tool, die werkt op het IEC-104-protocol.

Waar de malware precies voor bedoeld is, durft Mandiant niet met zekerheid te zeggen. Wel schrijft het bedrijf dat het op basis van zijn analyse verwacht dat CosmicEnergy is ontwikkeld door de Russische Federale Veiligheidsdienst 'om echte aanvalsscenario's tegen activa van het elektriciteitsnet na te bootsen'. Oftewel, het is mogelijk bedoeld om 'oefenaanvallen' mee uit te voeren, zodat Rusland erachter kan komen in hoeverre de getroffen systemen en netwerken goed beveiligd zijn.

Mandiant ontdekte de malware in december 2021 voor het eerst nadat er een sample werd geüpload naar het VirusTotal-malwareanalyseplatform door een gebruiker met een Russisch IP-adres. Daaruit bleek dat de malware veel gelijkenissen vertoont met de Industroyer-malwarefamilies, die worden gelinkt aan de Sandworm-hackersgroep die gelieerd is aan het Kremlin. Met die malware zijn in het verleden al meermaals cyberaanvallen uitgevoerd. Vorig jaar werd die nog gebruikt om het elektriciteitsnet van Oekraïne aan te vallen. Mandiant zegt overigens niet genoeg bewijs te hebben om er zeker van te zijn dat de CosmicEnergy-malware door dezelfde groep is ontwikkeld.

CosmicEnergy is in tegenstelling tot Industroyer nog niet gebruikt voor een cyberaanval. Mandiant waarschuwt wel dat de malware een 'plausibele dreiging' vormt voor elektriciteitsnetten. De cybersecuritygroep raadt OT-beheerders die gebruikmaken van een apparaat dat compatibel is met IEC-104 aan om actie te ondernemen voor het geval dat de malware in de toekomst wel ingezet wordt.

Reacties (95)

karel-jacobse 26 mei 2023 21:36

Waar ik me zorgen over maak in dit licht zijn alle omvormers van zonnepanelen die via de cloud hun informatie beschikbaar stellen aan de eigenaren. Als die omvormers gehackt worden en een paar keer aan/uit geschakeld worden op een zonnige dag dan gaat er volgens mij ook van alles mis op het stroomnet. En zoiets zou landelijke gevolgen kunnen hebben…

The Realone @karel-jacobse • 26 mei 2023 21:50

Het lijkt mij dat de omvormers data naar de cloud pushen dus zo gigantisch groot is die aanvalsvector niet. Ander verhaal wordt het als omvormers data van de cloud binnen hengelen, zoals updates.

Get!em @The Realone • 26 mei 2023 23:34

Als ik hier in de buurt kijk: alle omvormers staan een 2.4ghz WiFi met open ssid uit te zenden, zonder beveiliging.
En dan heb ik het over meer dan 50 omvormers. Allemaal zeversolar. Chinees dus.

Je kunt zo de configuratie aanpassen naar onveilige waarden.

The Realone @Get!em • 26 mei 2023 23:58

Maar dat is natuurlijk niet hetzelfde. Hackers komen natuurlijk niet massaal door de wijken rijden om via onbeveiligde WiFi netwerken omvormers aan te passen. Als je op grote schaal iets voor elkaar wil krijgen ben je er niet met 100 omvormers en tevens moet dat allemaal geautomatiseerd, in bulk en op afstand.

field33P @The Realone • 27 mei 2023 01:09

Tenzij je natuurlijk het hacken van de omvormers volautomatisch in bulk plaats kan laten vinden vanuit speciaal geprepareerde auto's die je door woonwijken heen laat rijden. De Russen probeerden immers ook de OPCW-hack vanaf de parkeerplaats.

sebastienbo @field33P • 28 mei 2023 09:44

Je moet helemaal niet rondrijden. Je kan een bestaand botnet gebruiken en dus de devices van de eindgebruikers zelf gebruiken om die aanvallen te doen, zonder je te verplaatsen.

Je gebruikt een botnet om dan de wifi van de devices te gebruiken om te zoeken achter zo een solar devices , er op aan te loggen en iets uit te veranderen. Botnets kan je huren op de darknet.Je kan dus gewoon eventjes huren en je script uitvoeren op honderden duizenden machines.

[Reactie gewijzigd door sebastienbo op 24 juli 2024 00:16]

xbeam @sebastienbo • 28 mei 2023 14:41

Ja wilde net zeggen een worm is goed genoeg in het geval open of default WiFi paswoords

slowdive @The Realone • 27 mei 2023 07:01

Niet massaal, maar je kunt als staatshacker ook rustig de tijd nemen en een paar jaar door een land touren. Niet zo handig als een geautomatiseerd proces op afstand, maar het ligt er maar aan hoeveel haast je hebt.

Cerberus_tm

@The Realone • 28 mei 2023 02:17

Misschien gebruiken hackers b.v. een kwetsbaarheid om een heleboel computers of telefoons tegelijk te hacken, en kunnen die dan als semi-botnet ingezet worden om via Wifi de omvormers te hacken?

sebastienbo @The Realone • 28 mei 2023 09:46

akooijman @Get!em • 27 mei 2023 13:32

Elke ethische hacker zou dus de zonnepanelen in zijn omgeving die zo slecht beveiligd zijn domweg uit moeten schakelen. Dat kost de eigenaar geld, dus zal hij iets doen.
Als dat op enige schaal gebeurt wordt het nieuws en zal vrijwel iedereen zijn installatie (beter) beveiligen.

robutt @akooijman • 28 mei 2023 07:39

Ik denk dat een heleboel eigenaren niet eens iets merkt als de omvormer een week of maand uit staat.
Bij mijn broer was 1 string panelen niet aangesloten. Pas na uitvoerig vergelijken in de opbrengst, vonden we dat er iets niet moest kloppen.
Het gaat inderdaad niet om een makkelijk te vergelijken rijtjeshuis. Aantal panelen, locatie en hoek waren anders.

Ik durf te beweren dat er een heleboel panelen op daken niet eens (goed) werken doordat ze domweg niet aangesloten zijn.

Accretion @akooijman • 28 mei 2023 07:40

Elke ethische hacker ... Dat kost de eigenaar geld,

D'r is niets ethisch aan schade veroorzaken...

Als je inlogt puur om de onbeveiligde WiFi AP modus uit te schakelen, dan is het nog wel te verdedigen.

Guru Evi @The Realone • 26 mei 2023 22:38

Zelfs als ze pushen kun je een slechte client exploiteren. Vb. door ipv 200 OK terug te zenden zend je "200 OKOKOK (x 256) reverse_ssh_tunnel.sh" dan is het mogelijk dat je ergens een overflow kan triggeren. Dat is meestal hoe de open source community binnen Linux-systemen op IoT devices kan, gewoon een buffer overflow triggeren in de 'normale' diensten die al 10 jaar geleden gebouwd zijn.

Veel van die systemen kijken echt niet naar de DNS noch SSL certificaten (want zulke dingen onderhouden wordt vele malen duurder.

En als China en Rusland de handen in elkaar slaan net voor een grote aanval op "het westen" (vb. Finland + Taiwan + Z. Korea tegelijk aanvallen) hebben ze in principe al een heel C&C systeem op aanvraag, alle cameraatjes, vriezers en andere IoT zijn al onder controle van Chinese bedrijven die meestal ook deels eigendom zijn van de Chinese overheid.

[Reactie gewijzigd door Guru Evi op 24 juli 2024 00:16]

kuurtjes @Guru Evi • 27 mei 2023 00:39

Uhm. Zo werkt het niet hoor. Of bedoel je een MITM aanval waar je de response aanpast? Want een client stuurt een Request en niet een "200 ok" Response.

Verder worden exploits aan de lopende band gepatched.

Guru Evi @kuurtjes • 29 mei 2023 18:14

OP sprak over het pushen van oa. updates of opdrachten en dat dit om een of andere reden veiliger is en niet tot exploitatie kan zorgen.

Je kunt inderdaad een MITM uitvoeren (zoals ik zei zelfs al staat de SSL aan, vanwege onderhoud staan veel cliënten gewoon zonder verificatie van de certificaten).

Daarnaast is mijn punt dat in China de bedrijven en de infrastructuur deels of volledig eigendom van de overheid zijn.

perpetualrabbit @kuurtjes • 30 mei 2023 13:40

Maar de meeste IOT apparaten draaien op oude firmware die nooit een patch ontvangt. En zelfs als die patch er is zullen de meeste mensen die niet installeren. Op Windows en Mac doen veel te veel mensen dat al niet. Android telefoons en Android apparaten krijgen doorgaans ook veel te weinig software updates.
Sure, voor de Linux distros en de kernel komen genoeg patches uit maar die bereiken voor het grootste deel nooit de apparaten waar het hier om gaat.
Dus als het op een oost-west oorlog dreigt aan te komen hoop ik dat de regering zal adviseren alle IOT apparaten uit te schakelen of van het net te halen. Omdat ze of zelf gevaarlijk worden ofwel een botnet worden. Of chaos veroorzaken als afleiding voor een echte aanval. Ik twijfel er niet aan dat de plannen hiervoor al jaren klaarliggen in Moskou en Bejing.

kuurtjes @perpetualrabbit • 30 mei 2023 16:15

Ik heb het over het feit dat een webserver antwoord met 200 OK.

Voor de rest denk ik natuurlijk je dat je gelijk hebt.

Accretion @Guru Evi • 28 mei 2023 07:44

Dat is meestal hoe de open source community binnen Linux-systemen op IoT devices kan, gewoon een buffer overflow triggeren in de 'normale' diensten die al 10 jaar geleden gebouwd zijn.

"Open source" heeft helemaal niets met hacken te maken, dat gaat om software ontwikkeling...

Daarnaast, je kan geen aangepaste response sturen als niet naar jou een request gestuurd is.

Guru Evi @Accretion • 29 mei 2023 18:16

Nee, ik bedoel de open source community die meestal hacks in IoT vinden omdat ze hun eigen server willen aanpassen.

Veel IoT is gewoon aangepaste Linux maar de fabrikant geeft meestal de sleutels of s broncode niet mee zelfs als de licentie dit zou eisen (oa Android apparaten). Maar veel van die apparaten hebben wel brakke libraries die soms jaren oud zijn.

Daarnaast kan je wel degelijk dingen in transit veranderen als je zelfs deels controle hebt over de infrastructuur. Al de mobiele infrastructuur en home routers van Huawei, Android foons van Xiaomi etc en het feit dat een groot deel van de infra voor IoT op Alibaba draaien (dat recentelijk ook door de Chinese overheid is overgenomen)

[Reactie gewijzigd door Guru Evi op 24 juli 2024 00:16]

slowdive @The Realone • 27 mei 2023 06:59

Is lees het dan ook anders. Als je heel veel spanningsbronnen (de zonnepanelen) snel na elkaar uit en aan zet kan dat misschien een deel van het stroomnet uitschakelen.

Zapato @slowdive • 27 mei 2023 09:40

Als je veel zonnepanelen tegelijk kunt uitschakelen zal er snel op andere bronnen bijgeschakeld worden om de tekorten op te vangen. Als die zonnepanelen dan weer tegelijk worden ingeschakeld wordt het elektriciteitsnet ontwricht.

ZwolschBalletje @Zapato • 27 mei 2023 12:33

Wat je beschrijft is als scenario best aardg uitgewerkt in het boek ‘Black-out’ van Mark Elsberg, dat zowaar deels in Den Haag speelt. Leuk voor in de vakantie!

Het is een gevalletje Business Continuity Management: de kans dat het gebeurt is minimaal (want heel veel maatregelen genomen om het te voorkomen), maar als het gebeurt, ben je wel de Sjaak.

Blij dat mijn zonnepanelen zo oud zijn dat ze nog geen eigen WiFi netwerk hebben, maar hun info verzenden en ontvangen over de UTP kabel. Scheelt in ieder geval een paar mogelijke aanvalsmogelijkheden

mr_evil08 @ZwolschBalletje • 29 mei 2023 19:55

Kans dat je gehackt wordt via internet is wel dusdanig groter dan een scriptkiddie die loopt te wardriven door de wijk via WiFi, daarnaast moet je vaak met de auto wel heel dichtbij staan om voldoende bruikbaar signaal op te pikken.

Dat je SSID,s ziet betekend nog niet dat er ook werkelijk een stabiele verbinding valt te maken.

[Reactie gewijzigd door mr_evil08 op 24 juli 2024 00:16]

martennis @The Realone • 26 mei 2023 22:38

Er zijn genoeg omvormers die ook OTA kunnen worden geupdated (en sommigen controleren regelmatig of er firmware updates beschikbaar zijn en installeren die automatisch).

wortelsky @martennis • 27 mei 2023 17:21

Ik denk dat de lijst van updates uit China vrij kort/nihil is. Misschien Europese merken dat dit beter geregeld is

dimdek @wortelsky • 29 mei 2023 11:05

Helaas laten Europese producenten hun spullen ook gewoon in China maken en hosten, zoals een paar jaar geleden duidelijk werd bij AEG:
https://tweakers.net/nieu...ligde-chinese-server.html

themadone @The Realone • 28 mei 2023 05:47

Ze pushen inderdaad data maar halen het ook op. Je kunt de meeste omvormers tegenwoordig instellen op afstand.

Dit kan in de toekomst best een interessante aanvals vector worden. Verander het output voltage en pats alle apparaten in huis stuk.

Sommige zaken zouden offline moeten blijven, zonnepanelen vallen hier wat mij betreft onder. Dat nerveuze gecheck hoeveel ze op hebben gebracht doen de meeste mensen alleen de eerste 2 weken en daarna niet meer.

Alternatief zou kunnen zijn om landelijke regulering toe te passen en niet toe te staan dat dit via bijvoorbeeld China gebeurt. Maar ja, vrije markt enzo en het moet allemaal goedkoop natuurlijk.

field33P @The Realone • 27 mei 2023 01:17

Of wanneer de aanvaller de Chinese overheid is: dan hebben ze niet eens een exploit nodig: Dan komt het Ministerie voor Openbare Veiligheid gewoon even binnengewalst met het verzoek om een speciaal geprepareerde firmware naar alle omvormers in landen X, Y en Z te pushen.

sickyb @The Realone • 29 mei 2023 11:35

Het lijkt mij dat de omvormers data naar de cloud pushen dus zo gigantisch groot is die aanvalsvector niet. Ander verhaal wordt het als omvormers data van de cloud binnen hengelen, zoals updates.

Het probleem is inderdaad de updates.
En het probleem is groter dan je denkt

https://www.ftm.nl/artike...2FqO1Eb048qbQdixpjYNP0%3D

veltnet @The Realone • 30 mei 2023 10:58

nieuws: Hacker kon software van zonnepanelen met omvormers Chinese Solarman a...

Het risico is dus groter dan je zou denken.

telenut @karel-jacobse • 26 mei 2023 23:52

en jij hebt een omvormer die je kan inschakelen zonder fysiek iets te doen?

karel-jacobse @telenut • 27 mei 2023 01:12

Voor zover ik weet is mijn solaredge omvormer remote geactiveerd door de leverancier. Ik neem aan dat het omgekeerde dan ook kan. Ik heb nadat alles werkte de netwerkkabel ontkoppeld zodat men er niet meer bij kan.

Odie @karel-jacobse • 27 mei 2023 09:22

Een solaredge hoeft niet geactiveerd te worden. Die doet het gewoon als je hem lokaal aanzet en configureerd met de juiste waarden.

Er is mij geen API call in de SunSpec standaard bekend waarmee je de omvormer remote uit en aan kan zetten. Ik zocht er laatst nog naar, omdat in m’n omvormer via Home Assistant wilde kunnen uitzetten bij negatieve stroom prijzen.

sympa @Odie • 27 mei 2023 16:30

Ik vermoed dat de netparameters remote worden ingesteld, toch?
Als ie zo wordt ingesteld dat 200 volt al "overspanning" is dan gaat ie echt wel uit.

Odie @sympa • 27 mei 2023 17:29

Nope, doe je gewoon met de installer app. En 200 volt instellen als overspanning kan niet, dat soort waardes zijn hard geconfigureerd per land wat je instelt. Je kunt een heel klein beetje frauderen door een ander land te kiezen en zo een iets hogere overspanning te krijgen en nét iets later dan je buren af te vallen bij overspanning maar daar blijft het bij.

sympa @Odie • 27 mei 2023 17:36

Okee, ik dacht gelezen te hebben dat de omvormers die landprofielen kunnen updaten. Maar goed, dat doen ze ook niet heel regelmatig, vermoed ik. Als in de loop van 1 dag alle omvormers in een land uitschakelen is dat vervelend, maar het geeft geen acute netuitval.

amauer @sympa • 30 mei 2023 09:25

Bij solax kun je met het serienummer en een 4 cijferige pincode alle settings remote aanpassen. Geen mogelijkheid om dat uit te zetten behalve internet toegang blokkeren.

Jboeren @karel-jacobse • 27 mei 2023 22:38

Via 'modbus' kan de solaredge lokaal uitgelezen worden. ook als geen verbinding met de leverancierscloud is.

timhtc @karel-jacobse • 27 mei 2023 09:11

Het European Network for Cyber security (ENCS) heeft hier ook onderzoek naar gedaan:

https://encs.eu/resource/...rotect-der-systems-draft/

renecl @karel-jacobse • 27 mei 2023 11:01

Vraag me af waarom alles aan de cloud moet hangen tegenwoordig?

Hier waarschuwt maffiaboy al jaren voor.
https://www.blackhatethic...o-took-down-the-internet/

mrooie @karel-jacobse • 27 mei 2023 07:03

Ik heb is navraag gedaan bij de woningbouw en die verwees mij weer door naar de leverancier.
Ze hangen in mijn huis maar ik kan alleen via een slechte web interface mijn gebruik inzien.

Reactie Woningbouw

Solarminds geeft aan dat er geen updates worden doorgevoerd aan de omvormers. Als er een monteur op locatie aanwezig is willen ze dit nog wel eens doen als dit ten goede komt aan de storing die er dan speelt.

Reactie Solarminds

Alle omvormers zijn voorzien van een eigen 4G verbinding zodat Solarminds deze op afstand kan monitoren, wellicht was ik daarin niet duidelijk in mijn antwoord. Elke afwijking in de omvormer of panelen kunnen worden gecontroleerd.

Zoals ook aangegeven in mijn mail, het is niet de bedoeling dat bewoners zelf aan de slag gaan met omvormers, die gaat veel problemen veroorzaken. Uitonderingen worden hierin niet gemaakt.

Wellicht een onbevredigd antwoord voor u als IT-er maar zo houden wij (Solarminds) het systeem onder controle. U mag er ook van uitgaan, als Solaredge (leverancier omvormers) een update heeft die noodzakelijk is voor de veiligheid, dat dit dan ook direct uitgerold wordt. Tot op heden is dit nog niet aan de orde geweest.

[Reactie gewijzigd door mrooie op 24 juli 2024 00:16]

kw4h @mrooie • 27 mei 2023 08:40

Je kan je SolarEdge omvormer uitlezen via het SunSpec protocol. Bijvoorbeeld met https://github.com/dave92082/SolarEdge-Exporter om het in Prometheus te knallen.

Maar inderdaad, het maakt je nog geen ‘eigenaar’ van de installatie.

Galapogos @mrooie • 27 mei 2023 09:00

Indien modbus is geactiveerd op je SolarEdge-omvormer (is volgens mij standaard zo, maar pin me daar niet op vast), kun je in elk geval realtime waarden uitlezen zonder afhankelijk te zijn van de cloud. Deze waarden updaten zeer frequent (iedere seconde ofzo), en daar heb je dus veel meer aan dan de informatie die je via de cloud van SolarEdge krijgt. Bovendien heb je veel meer soorten gegevens tot je beschikking, zoals voltages, foutmeldingscodes, etc.

Hier had ik het geluk dat de installateur van onze omvormer/panelen de omvormer überhaupt niet had aangemeld bij SolarEdge. Ik heb toen gewoon zelf een installateursaccount geopend bij SolarEdge en mijn omvormer daar aan toegevoegd.

langestefan @Galapogos • 27 mei 2023 09:22

Ik kan bevestigen dat dit niet zo is, bij mij stond modbus uit bij een solaredge systeem geplaatst in 2021. Heb eerst gevraagd aan mijn installateur of hij modbus aan kon zetten maar hij begreep het niet. Toen zelf maar een installateurs account gemaakt, SetApp gedownload en ingelogd met installateurs account en toen kon ik alle opties in de omvormer aanpassen inclusief modbus support. Overigens ging de omvormer toen ook de firmware updaten via mijn telefoon.

Odie @Galapogos • 27 mei 2023 09:23

Modbus over TCP moest ik handmatig aanzetten, staat niet default aan.

akooijman @karel-jacobse • 27 mei 2023 13:37

Wonderlijk dat de regelneefjes in Brussel zich wel zorgen maken over het maximale vermogen van stofzuigers maar niet over dergelijke risicofactoren in consumentenelectronica. (Voor zover een omvormer bij een particulier consumentenelectronica is.)

karel-jacobse @karel-jacobse • 30 mei 2023 11:16

https://www.nu.nl/tech/62...ers-van-zonnepanelen.html

MatthijsZ

26 mei 2023 22:18

En toch: het electriciteitsnet van Oekraïne draait nog.

Uiteraard is de cuber dreiging vanuit Russische en China wezenlijk, en ik wil het ook niet weg wuiven… maar ben wel benieuwd: hoe realistisch zijn de doemscenario’s?

HollowGamer @MatthijsZ • 26 mei 2023 22:31

Ik denk best realistisch. Ze hebben het met Stuxnet (US + Israël) ook geprobeerd en daar hebben ze ook schade veroorzaakt aan Iraanse kerncentrales.

Verder komt er steeds meer geavanceerde malware. Dat zag je bijvoorbeeld bij het massaal afluisteren van journalisten en politici.

Wij krijgen er nog niet zoveel van mee, maar wel als meer doelen worden geraakt waarbij wij weer gebruik van maken. Dat je bijvoorbeeld als een ziekenhuis is geraakt door malware, waarbij ze soms ook uit RU komen.

_Pussycat_ @HollowGamer • 27 mei 2023 02:58

Schade aan Iraanse uraniumverreikingscentrifuges, niet aan kerncentrales.

Edit: uraniumverrijkingscentrifuges is natuurlijk met een lange "ij". Spellingscontrole is ook niet meer wat het eens was

[Reactie gewijzigd door _Pussycat_ op 24 juli 2024 00:16]

BlaDeKke @_Pussycat_ • 27 mei 2023 11:34

Zo, leg die eens met scrabble.

PCG2020 @_Pussycat_ • 27 mei 2023 13:06

In een uraniumverrijkingsinstallatie gebruiken ze in het magazijn natuurlijk een uraniumverreiker

Robbierut4 @MatthijsZ • 26 mei 2023 22:32

Wat mensen vaak vergeten is dat Oekraïne al lang voor de huidige inval in oorlog is met Rusland, in ieder geval digitaal.
Ze hebben dus al jaren ervaring met digitaal aangevallen te worden en hun beveiliging daarop aan te passen.

Landen die daar minder mee te maken hebben gehad zullen misschien minder goed voorbereid zijn op een dergelijke aanval.

Verder betreft hoe realistisch een doemscenario is, kijk naar stuxnet. Toch wel vrij effectief geweest.

hrigteri @Robbierut4 • 28 mei 2023 12:19

Helaas heb je helemaal gelijk. Ik maak me er af en toe zorgen over.

blorf @MatthijsZ • 27 mei 2023 05:52

Dat hangt echt niet aan een publiek communicatie-netwerk. Zoiets moeten ze fysiek infiltreren om iets te controleren. Bij Stuxnet hadden ze toch ook een USB-stick naar binnen gesluisd via medewerkers?

[Reactie gewijzigd door blorf op 24 juli 2024 00:16]

themadone @blorf • 28 mei 2023 05:56

Nee niet bewust naar binnen gesluisd, virus gemaakt dat zich over heel internet verspreide op zoek naar een specifieke Siemens chip en die vervolgens aanpaste.

Iemand heeft waarschijnlijk per ongeluk een usb meegenomen van huis of eentje die in een pc heeft gezeten die online was en dat was voldoende. Hiermee is de airgap overbrugt.

Als ik het me goed herinner zat stuxnet echt op heel veel plekken maar deed het niks omdat je de specifieke Siemens chip niet had. Maar die parameters zijn aan te passen, gooi er een andere payload aan en klaar ben je

In theorie zou je om een voorbeeld te noemen alle iPhones om de 5 minuten kunnen laten rebooten met een dergelijke malware en niemand die er wat tegen kan doen want zat vol met zero days waarvan sommigen waarschijnlijk nog steeds bruikbaar zijn.

NSA had een berg tools die zijn gelekt, toen had Microsoft ineens wel de patches beschikbaar na het lek, alleen patchte niet iedereen op tijd. Welkom wannacry....

Autisme_tech @MatthijsZ • 27 mei 2023 08:02

Daar draaien ze denk ik niet op windows

slijkie 26 mei 2023 21:56

Ik ga even de advocaat van de duivel spelen hier.

Lezen wij hier (en andere westerse tech media) ook over Amerikaanse of NAVO malware die gericht is op Rusland/China/etc?

Of bestaan die niet? (Oprechte vraag)

SVMartin @slijkie • 26 mei 2023 22:02

Die bestaat zeker wel.

https://en.wikipedia.org/wiki/Stuxnet

Lees het boek 'het is oorlog, maar niemand die het ziet' als je meer wilt weten.

tweazer @SVMartin • 26 mei 2023 22:09

Wie maakt de OS'en? Wie beheert root certificaten ? Wie maakt of certificeert hardware ?
De achterdeur staat verder open dan je zou willen weten ...

Autisme_tech @tweazer • 27 mei 2023 08:04

Is al aangetoond destijds met wat er vanuit de NSA naar buiten kwam dat er op diverse nieuw geleverd routers speciale software meedraaide van deze organisatie

tweazer @Autisme_tech • 31 mei 2023 15:02

En het tegenovergestelde ook, cisco apparatuur, die met nep onderdelen uit china op de markt gebracht werd .. Wellicht een soort technische hattrick...

Bongoarnhem @SVMartin • 26 mei 2023 22:17

Superboek! Aanrader voor alle Tweakers.

Exoronic @SVMartin • 26 mei 2023 22:23

Of kijk de documentaire

Zero Days
https://www.imdb.com/title/tt5446858/

Super interessant en pretty mindblowing.

edit: worth mentioning - nieuws: Nederlander helpt belangrijk deel Stuxnet-puzzle op te lossen

[Reactie gewijzigd door Exoronic op 24 juli 2024 00:16]

HollowGamer @slijkie • 26 mei 2023 22:19

Wat een onzin, tuurlijk lees je hier over hacks en malware door westerse landen. Er zijn zelfs bedrijven hier in EU erin gespecialiseerd. Amerikaanse spul heeft nog altijd backdoors.

Daarom is het voor EU belangrijk dat we investeren in eigen chips en fabrieken.

[Reactie gewijzigd door HollowGamer op 24 juli 2024 00:16]

vinkjb @HollowGamer • 26 mei 2023 22:24

De Eu is geen land.

HollowGamer @vinkjb • 26 mei 2023 22:27

Klopt, China is dat wel, en wat voor een!

svenk91 @HollowGamer • 27 mei 2023 04:49

Het land is mooi, de mensen zijn overwegend tof, maar het regime dat daar heerst is verwerpelijk helaas. Erg zonde want ik kwam er altijd met plezier, nu helaas niet meer veilig om te doen.

BlaDeKke @svenk91 • 27 mei 2023 11:39

Ja china is echt tof. Veel beter dan Nederland. Echt overwegend verwerpelijke mensen daar.

blorf @HollowGamer • 27 mei 2023 02:36

Volgens mij is er nog nooit een "staats-backdoor" gedemonstreerd. Heb je ook niet nodig met een vinger in de hele communicatie-infrastructuur.

svenk91 @blorf • 27 mei 2023 04:51

Met de juiste wetgeving is een regulier OTA-update kanaal al snel een staats-backdoor.

blorf @svenk91 • 27 mei 2023 05:05

Kwestie van een netwerkbrug achter je uitgaande lijn hangen. Dan zie je alles voorbij komen. Het zou eenvoudig aantoonbaar zijn. "Hey, wat zijn dit voor bytes, en waar gaan die naar toe?"

sympa @blorf • 27 mei 2023 08:41

Nah, tegenwoordig zijn apparaten zo ongelofelijk "chatty".
Als je een backdoor wilt bouwen begin dan met een heel chatty applicatie, dan door een tunnel heen, en vervolgens kan je daar best wat informatie aan toevoegen.
En oh ja, communicatie kan zo geniepig. Een DNS lookup die plots nieuwe info binnenkrijgt. Exfiltreren via timing, via DNS, whatever. Je vindt het alleen met code-analyse denk ik.

blorf @sympa • 27 mei 2023 09:02

Fundamenteel probleem is dat je een client en een server nodig hebt voor een achterdeur die ook ergens voor bruikbaar is.
In openbare netwerken die publieke standaarden voorschrijven is geen enkele "geheime" verbinding te verbergen. Er zijn teveel partijen betrokken bij elke data-verbinding tussen a en b. Dat werkt alleen maar in theorie als je uit gaat van een complot waar hardware-fabrikanten, telecom-providers en OS-makers allemaal in zitten en iedereen strikt zijn mond houdt.

cc12 @HollowGamer • 27 mei 2023 03:38

Verder als ik mag kiezen tussen China, Rusland of de US, dan inderdaad China of Rusland. Beide mooiere landen dan de EU en US.

Wat houdt je tegen om je daar te vestigen?

CivLord

Rusland

@slijkie • 27 mei 2023 13:01

Natuurlijk bestaat die ook.
Maar dat is voor ons en onze energievoorziening niet relevant, dus hoor je er erg weinig van.

Dimentrix 26 mei 2023 21:37

Voor de geïnteresseerden, even opgezocht wie Mandiant is. Helaas niet in het artikel vermeld. Mandiant is een Amerikaans cyberbeveiligingsbedrijf en een dochteronderneming van Google

Bulkzooi @Dimentrix • 2 juni 2023 19:17

Mandiant is een Amerikaans cyberbeveiligingsbedrijf en een dochteronderneming van Google

Juist. ze zijn bekent geworden door het Solarwind onderzoek.

En aangaande CosmicEnergy betreft het remote terminal units die voldoen aan de IEC-104-standaard.

De kwetsbaarheid in installaties betreft modbus/telnet over TCP, een technology die Google reeds in de steek heeft gelaten (voor Quic).

Mandiant was een Amerikaans bedrijf dat beveiligingsonderzoek doet. Ook levert het computer emergency response teams, ofwel cert's. Het bedrijf was sinds 2013 onderdeel van beveiligingsbedrijf FireEye, dat vorig jaar een groot deel van zijn product-portfolio verkocht.

Googles overname van het cybersecuritybedrijf Mandiant is in september 2022 afgerond tegen 5,4 miljard dollar. Het bedrijf bood zijn diensten aan in 22 landen.

Met de aankoop gaat Google Cloud een 'end-to-end security operations suite' uitbreiden, om de strijd met Microsoft Azure en Amazon Web Services te intensiveren.

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 00:16]

jpsch 26 mei 2023 22:44

We worden veel te afhankelijk van elektriciteit. Zo'n zonnestorm als in 1921 gaat ook veel problemen geven.

xippie @jpsch • 26 mei 2023 23:03

Tegenwoordig kunnen we de zonnestorm aan zien komen, als we dan tijdelijk het elektriciteits netwerk uitschakelen is er weinig aan de hand. Dan hebben we maar een paar dagen geen elektriciteit. Maar als ze ten koste van alles het toch electriciteit proberen te leveren gaan de transformatoren kapot en voordat die weer vernieuwd zijn zijn er maanden of jaren verder. Daar hebben ze helaas ervaring mee in o.a. Canada. Zie https://en.wikipedia.org/...agnetic_storm?wprov=sfla1

[Reactie gewijzigd door xippie op 24 juli 2024 00:16]

mrmrmr @xippie • 27 mei 2023 00:31

Het effect van een paar dagen geen stroom is zwaarder dan je denkt. Als de stroom uitvalt is er ook geen watervoorziening meer, op sommige plekken stroomt riolering over, het verkeer loopt vast, er is geen productie meer, geen geld uit de muur, pinnen kan niet meer, en er alarmen werken niet meer. De kans op rellen en plundering is niet gering.

Het is niet voor niets dat de belangstelling van vijanden om onze infra te verstoren nogal groot is. Dat is al jaren zo. Niet alleen van Rusland, maar ook van China.

Bij een destructieve aanval ben je inderdaad nog verder van huis. De crisisplannen daarvoor moeten klaarliggen.

sympa @mrmrmr • 27 mei 2023 08:41

Ook in landen die veel minder ontwikkeld zijn dan wij is een uitval van de elektriciteit een ramp.

m_snel @sympa • 28 mei 2023 09:10

Dat ligt er maar aan wat je ramp noemt. Veel arme landen zetten dagelijks gewoon expres de elektriciteit uit in wijken. Vier uur wel en vier uur geen stroom, water komt misschien een keer in de week uit de kraan.
Mensen passen hun leven daar op aan. Ze vullen ondergrondse water tanks, of geen een groot vat van een halve m3.
Reden er wordt niet betaald.
Er zijn ook vaak storingen omdat ze zelf elektriciteit aftappen en kortsluiten veroorzaken.

Autisme_tech 27 mei 2023 08:09

De VS ontwikkelde destijds toch iets soortgelijk om Iraanse kernenergie plat te leggen? Daar heeft de hele wereld toen last van gehad.

x86dev @Autisme_tech • 27 mei 2023 08:29

“Dat mag” / “kan gebeuren” natuurlijk.

sympa @Autisme_tech • 27 mei 2023 08:42

Het was een fabriek die platgelegd werd (die gebruikt werd om kernwapens te maken).
Dat is echt niet hetzelfde als het algemene elektriciteitsnet.

Marzman 27 mei 2023 08:58

Het is wel weer een beetje terug de koude oorlog in de nieuwsberichten. We zijn bang voor een hack op ons electriciteitsnetwerk en daar gaat de dikgedrukte tekst ook over en als je dan verder leest staat er dat het waarschijnlijk is 'om echte aanvalsscenario's tegen activa van het elektriciteitsnet na te bootsen' op hun eigen infrastructuur.

[Reactie gewijzigd door Marzman op 24 juli 2024 00:16]

vinkjb 27 mei 2023 11:08

Zou voor de werkgelegenheid goed zijn om belangrijke nutsvoorzieningen van het net te halen. Gewoon weer een persoon op de stoel daar. Je ziet dat al die beveiligingen en je weet niet of ze werken veel duurder zijn dan die mensen die je aanneemt.
Worden miljoenen ingepompt en beveiliging en helpt het?

CivLord

Rusland

@vinkjb • 27 mei 2023 13:19

Zou het daar echt veiliger van worden?
Zolang alles goed gaat is het dood saai werk. Vooral kijken dat de metertjes staan zoals ze moeten staan en af en toe iets in- of uitschakelen. En héél af en toe een calamiteit die direct actie vereist. Voor iemand met genoeg kennis en ervaring om alles zonder problemen af te kunnen handelen is dat vaak te saai om het lang vol te kunnen houden. De mensen die je voor dat soort werk kan vinden en die het vol kunnen houden, zijn mensen als bewakers, die de concentratie op kunnen brengen om langdurig dingen in de gaten te houden die niet veranderen, maar weinig kennis hebben van de systemen, om bij problemen in te kunnen grijpen. Het zijn twee verschillende types mensen, andere persoonlijkheden.
Zolang alles goed gaat is alles decentraal veiliger, omdat het niet vanaf afstand beïnvloed kan worden. Zodra er iets niet goed gaat, is centraal kunnen ingrijpen veiliger, omdat het tegenwoordig niet meer lukt om op alle locaties 24/7 capabele operators te plaatsen die er tegen kunnen dat het werk 99% van de tijd dood saai is.

HeNKiEeEeE 27 mei 2023 20:01

Een russisch IP adres heeft het geupload... Euh ff computer in rusland huren en vanaf daar uploaden? Slaat toch nergens op...

djwice

27 mei 2023 23:20

@Kevinkrikhaar als de malware in december 2021 voor het eerst werd ontdekt, waarom spreekt dit artikel in mei 2023 (bijna 1,5 jaar later) van 'Nieuwe .. malware'?

Op dit item kan niet meer gereageerd worden.

Nieuwe Russische malware is mogelijk bedoeld voor aanval op elektriciteitsnetten

Lees meer

Reacties (95)

Sorteer op:

Weergave: