'Sabotagevirus' treft energiebedrijf

Een nieuw virus heeft ten minste één bedrijf uit de energiesector getroffen. Het virus overschrijft bestanden en verminkt master boot records, zodat pc's niet meer kunnen opstarten. Er zijn aanwijzingen dat het om een doelgerichte aanval gaat.

Het virus, dat door antivirusbedrijven 'Shamoon' of 'Disttrack' wordt genoemd, maakt op Windows-systemen een lijst met interessante bestanden en vernietigt deze vervolgens. De bestanden worden overschreven met data uit een jpeg-bestand, stelt Symantec, zodat ze niet meer kunnen worden hersteld.

Daarnaast wordt het master boot record van de harde schijf overschreven, waardoor de computer niet meer kan opstarten zonder een herinstallatie of het terugplaatsen van backups. Of het virus ook informatie steelt, is vooralsnog onduidelijk. Volgens SecuLert worden de namen van de gewiste bestanden naar een andere pc gestuurd, maar die zou zich opvallend genoeg in hetzelfde netwerk bevinden. Mogelijk gaat het om een getrapte aanval, waarbij een pc die niet rechtstreeks aan het internet is gekoppeld, wordt aangevallen via een pc in hetzelfde netwerk die dat wel is.

Het is nog geen wijdverspreid virus; Symantec schat dat er minder dan vijftig besmettingen zijn. Wel zou er al een aantal instellingen zijn getroffen. Mogelijk gaat het om een doelgerichte aanval; een van de besmettingen betreft een niet bij naam genoemd bedrijf uit de energiesector. Eerder werd bekend dat het energiebedrijf Saudi Aramco uit Saudi-Arabië door het virus zou zijn getroffen, maar het is onduidelijk of het daarbij inderdaad om het Shamoon/Disttrack-virus gaat.

Een module van het virus heeft de bestandsnaam 'wiper.pdb', wat sommige beveiligingsbedrijven zien als een verwijzing naar Wiper, een module van het Flame-virus dat onlangs opdook. Kaspersky denkt echter niet dat er een relatie tussen de twee is, en uit een analyse van het bedrijf zou zelfs blijken dat het nieuwe virus mogelijk het werk van scriptkiddy's is.

IT-banen

Reacties (44)

Indifstublatia 17 augustus 2012 17:19

Leuk van die scriptkiddy's. Zijn meestal 15-18 jarigen die denken dat het leuk is. Wat ze er echter bij vergeten is dat hun 'kunsten' heel wat schade aan kan richten, zo niet aan rícht.

Daarbij is het voor bedrijven zoals dat van ons een koud kunstje om hen te traceren. Het vervelende, vind ik althans, is dat meestal de ouders van dit soort grut de dupe worden van hun vervelende 'kunstjes' en een, al dan niet heel erg emotioneel, erg groot schadebedrag voorgeschoteld krijgen.

Wij hebben wel eens een ventje van 14 getraceerd dat de locale supermarkt aan had gevallen waardoor de kassa systemen niet meer werkten. Schade post: +/- €15.000,-

De ouders van dit ventje hadden het al moeilijk met een doodzieke vader en kon dit bedrag niet ophoesten. Gevolg: schuldsanering. Hoe moeilijk het ook is, wij moeten toch de beveiliging, al dan niet vooraf/achteraf, bieden en dit soort 'mini-crimineeltjes' opsporen.

Helixon @Indifstublatia • 17 augustus 2012 22:20

Waarop baseer je dat dit "Scriptkiddies" van 15 tot 18 jaar zijn...
Er zijn genoeg "volwassen" hackers/(virus)scripters... Ik vind jouw conclusie dus een beetje kort door de bocht!

En dat er een virus een energie bedrijf trekt zegt meer dan genoeg over het beveiligingsniveau van dit bedrijf...

arjankoole

Beveiliging

@Helixon • 18 augustus 2012 07:55

En dat er een virus een energie bedrijf trekt zegt meer dan genoeg over het beveiligingsniveau van dit bedrijf...

Niet echt, iedere beveiliging, hoe goed ook, is te kraken. Dat is de eerste regel. Als het echt een staggared virus is, dan zit daar al aardig wat intelligentie achter. Misschien zelfs wel kennis die elders bij elkaar gehacked is.

Daar begin je heel weinig tegen.

Foxl @Indifstublatia • 17 augustus 2012 17:41

Ik vind de term scirptkiddy's in de meeste gevallen wel wat denigrerend klinken.

Er zijn genoeg jongeren die inderdaad met een gedownload scriptje iets omver weten te trekken, maar als zo'n "scriptkiddy" door kan dringen tot vitale delen van een energiebedrijf of b.v. een kassasysteem op z'n plaat kan helpen, dan zegt dat eerder iets over de toegepaste beveiliging dan over de skills van de betreffende misbruiker.

FreshMaker @Foxl • 18 augustus 2012 09:40

klopt ook in mijn mening.

Een scriptkiddy zal niet veel werk zelf (kunnen) doen
Dus dan is de betreffende beveiliging al eerder omzeild, wat hem de gelegenheid boodt om het over te doen.

alleen omdat zijn kennis te beperkt was, is hij dus gepakt.
Technisch heeft hij een dienst bewezen, het gat in de beveiliging is geopenbaard, en kon verholpen worden.
( dus is het bedrijf wat de mooie beveiliging de aanstichter, door niet direct goed gecontroleerd te hebben, en niet de logs nageplozen om evt oneffenheden uit te schakelen na de livegang )

dit is oneday solution werk, "alsjeblieft, u bent nu beveiligd"
en na een inbraak, dát gat dichten, en wachten op de volgende problemen

Koenvh @Indifstublatia • 17 augustus 2012 17:52

Ik zou maar eens goed de systemen voor de kassa's e.d. nakijken.
Heel leuk hoor, hem traceren, maar ik ben hier van mening dat het hier de schuld is van de winkel ipv de "hacker". Tevens is dit niet de goede oplossing, vraag aan zo iemand of hij weet hoe de systemen beter beveiligd kunnen worden e.d, want wie zegt dat het niet nog een keer gebeurd?

Verwijderd @Koenvh • 17 augustus 2012 22:22

Beveiliging kan misschien/wellicht beter, maar het is niet het middel, maar de persoon die het middel gebruikt die bepaalt of iets voor 'goed' of 'slecht' wordt gebruikt.

In jouw vergelijk, even grof doorgetrokken, is niet de schutter die een of meer mensen omlegt verantwoordelijk, maar het bedrijf dat het vuurwapen heeft gemaakt.

Samenwerken met dergelijke personen kan zeker waardevol zijn, maar ik ben ook van mening dat als je iets doet dat niet mag, je daarvoor best gestraft mag worden. Iets met opvoeding, en leren wat goed en slecht is?

Edit: Het feit dat ouders feitelijk opdraaien voor de kosten van dergelijke acties is wel zuur, al kun je daar wel weer op aangeven dat ze de kinderen beter in de gaten moeten houden. Maar dan stuit je dus weer op een deel van het probleem van opvoeden en hoe dat tegenwoordig heel anders gebeurd dan vroeger. Er zijn veel dingen anders ten opzichte van een decennium of meer geleden, maar het principe blijft natuurlijk hetzelfde.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 21:22]

r.marijnissen 18 augustus 2012 00:07

Wordt het niet eens tijd dat virus schrijvers eens wat harder worden aangepakt?

Blijf het belachelijk vinden dat het een steeds groter probleem wordt.

FreshMaker @r.marijnissen • 18 augustus 2012 09:46

tja, dat vindt ik ook van hardrijders, roodlichtrijders en van wildplassers.
Het is niet zo dat een 'gepakte' schrijver een standje van zijn moeder krijgt "nooit meer doen hoor !"
het moet uiteindelijk wel uitkomen, en bewezen worden WIE het is/was

het is een kwestie van geven en nemen, een toevalstreffer raken, als je iemand 'iets' ziet doen.
Een virus is een code, een programma, hoe wil je het aanpakken, programmeren verbieden ?
of een censuurburo er opzetten, voor het de wereld in mag ?

op elk toetsenbord, touchscreen kan een virus gecreëerd worden, maar het kan óók zomaar een wereldverbeterend idee zijn.
net zoals dat er 100'en keren op een dag door rood gereden 'kan' worden.

_Thanatos_ @FreshMaker • 19 augustus 2012 05:10

Of je zoekt naar degene die het "upload virus" commando (bij wijze van heh!) heeft uitgevoerd

Verwijderd 17 augustus 2012 17:19

Klinkt spannend dit item in het licht van de vorige virussen de afgelopen tijd, maar aangezien het maar 1 bedrijf betreft, is het toch meer aanmelijk dat het hier gaat om een slechte interne ICT afdeling/beveiliging/antivirus (infectie via jpeg) ? Of Is een virusmelding van minder dan 50 nu ineens wereldschokkend nieuws ?

Verwijderd @Verwijderd • 18 augustus 2012 09:33

Het is nieuws omdat het gaat om een vitale voorziening. Nederland gaat failliet als 'de stroom uitvalt'.

Verwijderd 18 augustus 2012 13:24

Als een programma, of stukje code, gaat zitten schrijven in het master boot record, of zomaar files gaat zitten aanpassen zonder tussenkomst van een gebruiken, dan zou een virusscanner toch sowieso al compleet overstuur moeten raken en het in quarantaine moeten plaatsen?

Wat doen virusscanners eigenlijk nog wel dan? Alleen maar op al bekende signatures scannen? Dan lopen ze nagenoeg altijd achter de feiten aan.

Alex3 @Verwijderd • 19 augustus 2012 12:30

De bootsector overschrijven kan alleen met beheerdersrechten, dus er werd sowieso al onveilig gewerkt.

Verwijderd 20 augustus 2012 15:36

Daarnaast wordt het master boot record van de harde schijf overschreven, waardoor de computer niet meer kan opstarten zonder een herinstallatie of het terugplaatsen van backups.

Het verbaasd me eigenlijk dat dit virus zo werkt: het heeft zijn doel gevonden, dus vernietigd het de toegang en de werking van het systeem.... Zodat het zichzelf ook niet meer verder kan verspreiden. OK, als 'tijdbom' kan ik me dat voorstellen, of een werking via bijvoorbeeld een botnet, maar zomaar eigenlijk zichzelf ook om zeep helpen, dat lijkt me niet zo'n sterk plan.

Daarnaast: iedereen met een beetje kennis van eender welk bestandssysteem, kan volgens mij wel een MBR handmatig herschrijven. Het enige wat daarvoor nodig is, is een tweede computer en een HEX-editor. Even de schijf omhangen, MBR herstellen en je hebt weer toegang!

Ga nou niet zeggen dat je dan meteen die andere computer ook geïnfecteerd wordt: er is geen toegang tot die schijf, totdat jou Windows actief gaat proberen die andere schijf te mounten. ik heb nog geen virus gezien dat zonder die mount een doel-pc kan infecteren, maar dat kan aan mij liggen. iig kan je Windows-computer niets met die andere schijf, totdat je hem opnieuw hebt laten herkennen na het herschrijven van de MBR.

En wat wil je in die MBR hebben? Als je er alleen de startsector en de grootte van de partities in zet, ben je al een flink eind op weg. Daarna alleen nog even aangeven welke partitiesoort, actief (of niet) enbestandssysteem, en je bent klaar. Ik denk dat voor een gemiddelde goede beheerder dit maximaal 5 minuten werk is, en dat is onafhankelijk van de bestandssystemen of besturingssystemen. En als je het nog sneller wilt doen, kopieer je hem gewoon van de laatste sector van de schijf: daar staat immers de reserve-kopie. Knap virus als het deze ook aanvalt!

Oh, ja: je zult wel even de bootsectoren van iedere partitie moeten controleren, maar herinstalleren of back-ups terug plaatsen... Kom op, dit is Tweakers. Ik vermoed zelfs dat we hier aardig wat mensen hebben die binnen 10 minuten een scriptje schrijven dat dit automatisch kan doen!

TGoC @Verwijderd • 21 augustus 2012 00:41

Dit doe je sowieso niet met een HEX Editor...
In de recovery mode van Windows zitten diverse dos commands die je kan uitvoeren:
- fixmbr
- fixboot
- bootcfg
( http://support.microsoft.com/kb/314058/nl )

Daarnaast zie je ook dat dit virus aggresiever te werk gaan dan Dorifel. Waar Dorifel enkel een encryptie om het bestand heen zette, doet dit bestand opzettelijk de data overschrijven met jpeg content. Hierdoor kan de data niet worden hersteld zonder backup.

Verwijderd @TGoC • 21 augustus 2012 22:34

De programma's die je noemt, zijn zogeheten 'domme' programma's, houden geen rekening met de originele partitie-indeling, en zullen de MBR terugzetten naar een standaard, die Microsoft handig vond. Dat houdt in: één NTFS-partitie die start na 64 sectoren, en verder de complete grootte van de harde schijf beslaat. Jammer joh, je gegevens zijn dus niet beschikbaar als je partitie toevallig op een andere sector begon (bijvoorbeeld op sector 204800, zoals bij Windows 7 vaak).
Daarnaast heb je een grote kans dat ze die partitie dus ook nog eens echt gaan aanmaken, omdat je immers Windows dan alleen kunt herstellen door een nieuwe installatie of het terug-plaatsen van een back-up.

Wie zich echt verdiept in een besturingssysteem, kan met een HEX-editor sneller en zekerder even zelf die MBR herschrijven. Zo ben je namelijk WEL zeker dat je de adresseringen correct hebt. Als je dan ook nog eens een professioneel programma hiervoor gebruikt als WinHex of een andere echte HEX-editor, dan is dat nog niet eens moeilijk ook.

Sorry, maar als iemand met 7 jaar in het herstellen van data heb ik dit soort beschadigingen vaak genoeg gezien. Er zijn meerdere virussen die de MBR aanpassen, maar tot nu toe heb ik er nog geen één gezien die de kopie van de MBR aan heeft getast. Die is normaal gesproken te vinden aan het eind van de bruikbare schijfgrootte (vaak: totaal aantal sectoren van de schijf - 64), en daardoor makkelijk terug te kopiëren. Als de bootsectoren van de partities ook overschreven zijn, kan het wat lastiger zijn om die terug te zetten, maar ook die zijn gekopieerd naar het eind van de partitie...

Zet je een back-up teug over je gehele systeem, verlies je vaak meer data, en ik vermoed zelfs dat ee beetje ICT-afdeling hier met enkel een aangepaste MBR sneller klaar is door deze terug te berekenen en opnieuw te schrijven, en daarna het virus zelf te verwijderen.

SpitfireNL 17 augustus 2012 17:50

En bij Essent leverancier heeft toevallig het systeem 2 dagen plat gelegen, dat was deze of vorige week geloof ik. Dan heb ik natuurlijk meteen een sterk vermoeden welk energiebedrijf dat zou zijn geweest in de nieuwspost maar bewijzen kan ik het natuurlijk niet. Maar zou ook net zo goed een ander energiebedrijf kunnen zijn geweest.

Kobus Post 17 augustus 2012 17:16

Hopen dat de Kritische systemen in een apart, op zichzelf staand netwerk opereren en niet een directe link naar het internet hebben.

RobjeDopje @Kobus Post • 17 augustus 2012 17:18

Als je leest zul je zien dat die pc's die niet aan het internet gekoppeld zijn, toch het internet bereiken via andere pc's die dat wel zijn. Ik citeer: "Mogelijk gaat het om een getrapte aanval, waarbij een pc die niet rechtstreeks aan het internet is gekoppeld, wordt aangevallen via een pc in hetzelfde netwerk die dat wel is."

EDIT: Inderdaad wel hopen dat ze daar los van staan

[Reactie gewijzigd door RobjeDopje op 22 juli 2024 22:28]

Kobus Post @RobjeDopje • 17 augustus 2012 18:41

Daarom zei ik ook een los op zichzelf staand netwerk:)

Gomez12 @Kobus Post • 17 augustus 2012 19:19

En daar zijn er op zich weinig van. Een echt op zichzelf staand netwerk kan namelijk ook geen alarm-signaleringen sturen als er iets fout gaat.

Normaliter wil je bij kritieke systemen minimaal een automatische bijsturing krijgen als er een alarm afgaat en daarnaast wil je dat dat alarm doorgezet wordt naar mensen die er naar kunnen kijken.

Wil je echt een gescheiden netwerk hebben dan heb je 2 controle-systemen nodig (1 voor het bijstellen als het fout gaat en 1 met externe toegang om een signalering te sturen) en die moeten "magischerwijs" in sync blijven

Verwijderd @Gomez12 • 18 augustus 2012 15:44

Vergeet niet dat energiebedrijven al jaren een eigen communicatieneterk hebben, het is voor hun simpel om een extra glasvezeltje mee te leggen als de straat toch al open ligt voor een 50kV kabel, er zijn zelfs glasvezelverbindingen verwerkt in de bliksemdraden van een hoogspanningslijn. Dit betekend dat de signaleringen via een eigen netwerk worden getransporteerd, en energiebedrijven dus niet afhankelijk zijn van het internet, ik denk dat het grootste gevaar wordt gevormd door USB sticks.

Verwijderd @Gomez12 • 17 augustus 2012 19:43

alarmmelding gaan vaak een aparte alarm-vpn lijn

kaaas @Gomez12 • 17 augustus 2012 21:18

Daar zijn simpele oplossingen voor zoals alleen smtp poort open met alleen toegang naar 1 ipadres van een externe mailserver die niet in jouw netmwerk zit, die van provider bijv. Voor de alarm melding. Uiteraard doe je dit op firewall niveau en niet op je server alhouwel het geen kwaad kan dit op beiden te doen. En je moet er voor zorgen dat je server alleen in een netwerk/vlan zit zodat andere systemen niet zomaar tegen je server kunnen gaan praten als dit niett nodig is.

Zelfde voor de bijsturing vpn verbinding voor je ssh toegang met toegestane ip adressen die verbinding mogen maken.

[Reactie gewijzigd door kaaas op 22 juli 2024 22:28]

Verwijderd @postbus51 • 17 augustus 2012 19:03

Besmetting via WAN en vervolgens voortschrijdende besmetting via LAN dus

[Reactie gewijzigd door Verwijderd op 22 juli 2024 22:28]

_Thanatos_ @Kobus Post • 17 augustus 2012 17:53

Kritische systemen zijn bij een energiebedrijf ook geen pc's, lijkt me...

Gomez12 @_Thanatos_ • 17 augustus 2012 19:23

Nope, dat zijn de PS3's waar het personeel in de pauze op speelt.

Tuurlijk zijn er wel pc's die kritische functies kunnen aansturen, de tijd van handmatige switches en knoppen zijn we toch al enige tijd voorbij.

De pc zelf zal misschien geen kritiek systeem zijn in het energiebedrijf, maar je kan er wel de kritieke systemen mee aansturen.

Verwijderd @Gomez12 • 18 augustus 2012 09:32

Handmatige switch en knoppen. Hmm. Wat een idee. Dat klinkt eigenlijk best slim en veilig. Schakel een energiecentrale uit en je schakelt alle pc's uit in de regio die door die centrale van energie voorzien wordt.

Lijkt mij een heel tactische aanvalsmogelijkheid. Energie is zo centraal voor alles wat we doen tegenwoordig... Misschien zouden we energiecentrales moeten uitrusten met handmatige switches en knoppen.

Ik snap niet het idee dat men denkt dat door het gebruik van computers die besmet kunnen worden met steeds slimmer wordende virussen de zaken beter worden.

Verwijderd @Verwijderd • 18 augustus 2012 15:27

Ik ben zelf werkzaam in de energie sector, ik kan jullie uit de droom helpen alle schakelaars zijn nog steeds te bedienen zonder computer overal zitten nog steeds knoppen op, en deze zijn zelfs te bedienen zonder elektriciteit,bij een (langdurige) stoomstoring zal het wel eens kunnen gebeuren dat je moet schakelen en... er is geen spanning.

_Thanatos_ @Gomez12 • 17 augustus 2012 23:05

Dat bedoel ik dus. Je kunt de stekker eruit trekken en dan de boel handmatig aansturen. No way dat dat niet kan. Een energiebedrijf zal echt geen SPoF hebben.

_Thanatos_ 17 augustus 2012 17:52

Er zijn aanwijzingen dat het om een doelgerichte aanval gaat.

Wat zijn die aanwijzingen dan

Verwijderd @_Thanatos_ • 17 augustus 2012 19:52

Het virus [...] maakt op Windows-systemen een lijst met interessante bestanden en vernietigt deze vervolgens.

Kennelijk worden er gericht bestanden vernietigd die niet op iedere pc met windows voorkomen.

Edit:
dat is in ieder geval wat ik begrijp uit de tekst van het artikel.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 22:28]

FreshMaker @Amanoo • 18 augustus 2012 09:48

mijn buurvrouw laat bijna dagelijks haar achterdeur van het slot, ook als ze meerdere uren weg gaat.
Ik denk dat de wetgever het OOK als huisvredebreuk ziet, als ik alleen maar vieze plaatsje in haar badkamer ophang.

wet is duidelijk in het toegang verschaffen door onbevoegden, óók op elektronische systemen.

ronski 17 augustus 2012 17:17

dit artikel komt niet met erg sterke argumenten dat het hier een doelgerichte aanval op een energiebedrijf betreft.

Het betreft hier toch geen stemmingmakerij hoop ik?

PatrikP 17 augustus 2012 17:19

Ik denk dat het een gouden tijd is om een netwerk beveiligings bedrijf te beginnen, zodat voor de gene die staan te springen om eindelijk hun rijbewijs op te kunnen halen, hem ook daadwerkelijk krijgen xD

Op dit item kan niet meer gereageerd worden.

'Sabotagevirus' treft energiebedrijf

Lees meer

IT-banen

Reacties (44)

Sorteer op:

Weergave: