'Hackaanval trof 30.000 systemen oliegigant'

Aanvallers die vorige week een Saudi-Arabisch energiebedrijf zouden hebben gekraakt, claimen dat ze in totaal 30.000 computers met malware wisten te besmetten. Ze dreigen de oliegigant zaterdag opnieuw aan te gaan vallen.

Als 'bewijs' voor het infecteren van de 30.000 computers plaatsten de aanvallers een lijst met besmette ip-adressen op Pastebin. Volgens de aanvallers is de olieproductie beïnvloed door de aanval en zal het Saudi-Arabische energiebedrijf in kwestie, Aramco, zijn werkzaamheden voorlopig niet meer kunnen hervatten.

Nieuws over de aanval kwam vorige week naar buiten, maar de omvang van de aanval was nog niet duidelijk. Aramco heeft op Facebook toegegeven getroffen te zijn door een virus, maar stelde dat het zijn netwerk snel weer in de lucht had gekregen. Uit voorzorg sneed Aramco de toegang tot zijn computers van buiten het bedrijf af.

De groep die achter de aanval zou zitten noemt zich 'Snijdend Zwaard van Gerechtigheid' en zegt het bedrijf te hebben aangevallen uit wraak voor onderdrukking door Aramco in het Midden-Oosten. Het zou een van de eerste keren en mogelijk zelfs de eerste keer zijn dat een dergelijke idealistische hackersgroepering malware gebruikt voor een aanval.

Mogelijk gaat het hierbij om de vorige week ontdekte Shamoon/Disttrack-malware. Bekend is dat één bedrijf uit de energiesector door dat virus is getroffen; het lijkt aannemelijk dat het daarbij om Aramco gaat.

Door Joost Schellevis

Redacteur

Feedback • 24-08-2012 14:34 35

24-08-2012 • 14:34

35

Lees meer

Nieuwe variant van malware uit 2012 wist harde schijven via geheugeninjectie
Nieuwe variant van malware uit 2012 wist harde schijven via geheugeninjectie Nieuws van 7 maart 2017
'Hackers uit Midden-Oosten willen bedrijven VS saboteren'
'Hackers uit Midden-Oosten willen bedrijven VS saboteren' Nieuws van 13 mei 2013
'Sabotagevirus' treft energiebedrijf
'Sabotagevirus' treft energiebedrijf Nieuws van 17 augustus 2012
Kaspersky vraagt hulp voor decrypten Gauss-payload
Kaspersky vraagt hulp voor decrypten Gauss-payload Nieuws van 14 augustus 2012
Kaspersky: 'overheidstrojan' richt zich op financiële transacties
Kaspersky: 'overheidstrojan' richt zich op financiële transacties Nieuws van 9 augustus 2012
F5 Networks wint 'Pwnie'-award voor beveiligingsprobleem
F5 Networks wint 'Pwnie'-award voor beveiligingsprobleem Nieuws van 26 juli 2012
Meer producten en artikelen
Privacy Beveiliging Malware

Reacties (35)

-Moderatie-faq
35
32
20
5
0
5
Wijzig sortering
iPiX1999 25 augustus 2012 09:53
Ik vind het nog meevallen dat het zo lang geduurd heeft. Een jaar of 3-4 geleden diverse malen bij Saudi Aramco geweest (voor fabriek uitbreidingen in Ras-Tanura, Hawiyah en Ju'Aymah), en toen hadden we al last van Indiers die zomaar overal hun prive USB stick inpropten om hun werk te kunnen doen. Drie keer raden hoe vaak we last hadden van (detecteerbare!) virussen.

Verder is SA inderdaad de grootste oliemaatschappij ter wereld, die niet zomaar even failliet (kan gaan) gaat. Daarvoor is het te groot/belangrijk en heeft het teveel goed draaiende fabrieken en oliereserves in handen. Zolang wij een behoefte aan olie hebben, zijn zij meester. En buigen zullen (doen) we.
lamme23 @iPiX199925 augustus 2012 23:40
Een paar jaar terug ben ik ook voor mijn toenmalige werkgever meerdere malen bij Aramco over de vloer geweest. Onze sytemen (control) werden alleen aan het internet gehangen op momenten dat er door ons maintenance gedaan moest worden. Eerst bellen voordat het werd aangesloten. Hooguit werd er een webserver opgetuigd voor rapportage. Dit werd vooral gedaan uit voorzorg voor dit soort gevallen. Als ze die policy nog steeds hanteren, dan is er qua productie niets aan de hand.
Notlupus 24 augustus 2012 15:21
Interessant om te weten dat dit bedrijf dus een stuk duurder is als Apple, wat claimt het grootste bedrijf ter wereld te zijn. Dit is dan wel eigendom van de staat, dat dan weer wel. Waarde: Ongeveer 1250 miljard dollar, uitgaande van de prijs van een vat olie.

[Reactie gewijzigd door Notlupus op 25 juli 2024 08:19]

MicScott @Notlupus24 augustus 2012 15:44
Apple is een beursgenoteerd bedrijf. Die 'waarde' van Apple waar onlangs over is bericht, ging dus om de opgetelde waarde van alle aandelen apple. Zo te zien staat Aramco niet aan een beurs genoteerd, dus daar kun je die beurswaarde van Apple niet mee vergelijken.

Edit: dat staat trouwens ook op wikipedia in de lijst met "most valuable companies":

"Some state-owned companies are far larger than even the largest public corporation. For example Saudi Aramco's value is estimated from $781 billion [1] to $7 trillion USD, more than a dozen times the size of any companies on this list making it the world's most valuable company.[2]"

[Reactie gewijzigd door MicScott op 25 juli 2024 08:19]

Tukkertje-RaH 24 augustus 2012 14:52
Jammer dat het 'bewijs' bestaat uit een lange lijst met 'private IP addresses' - waar dus niets mee bewezen wordt! Er zal ongetwijfeld wat gebeurt zijn (waar rook is is vuur), maar ze zullen met iets beters moeten komen dan dit...
Verwijderd @Tukkertje-RaH24 augustus 2012 15:46
Dan snap jij het ip adres principe niet. Tuurlijk wordt hier wel wat mee bewezen, als de ip ranges overeenkomen met die van het olie bedrijf. Dan is de hack toch bewezen? ^^
tes_shavon @Verwijderd24 augustus 2012 16:39
je hebt maar één pc nodig (of informatie over één pc - (oud)mederwerker? toeleverancier? consultant?) om daarmee de range de bepalen.

Elke organisatie heeft een dhcp-server staan (de echt achterdochtige en controlerende bedrijven hebben dat niet, maar daar hangt dan weer niet elke pc aan het internet) die die ip-adressen uitdeelt.

Een lijst met ip-adressen zegt in mijn ogen echt helemaal niets. Tenzij ze die lijst aanvullen met hostnames en MAC-id's.

edit: In de lijst met ipadressen die wordt gegeven op pastebin, staat alleen een lijst met ip-ranges en hoeveel ip-adressen ze daarin zouden hebben gevonden.

1. dit is dus meer een lijst met ranges dan met ip-adressen.
2. allemaal private-ip ranges beginnende met 10.x.x.x
3. zonder subnettering zegt dit helemaal niets over een mogelijke indeling van het netwerk. Daarnaast is de indeling op zijn zachtst gezegd "vreemd" te noemen. Bijvoorbeeld 10.255.24.111-116 (laatste) is helemaal niet zo te subnetteren.
4. ik ben nog steeds van mening dat een beheerder hier wel degelijk heel zenuwachtig van kan worden. Want de lijst geeft wel erg veel inzicht in de gebruikte ip-ranges.

[Reactie gewijzigd door tes_shavon op 25 juli 2024 08:19]

kimborntobewild @tes_shavon24 augustus 2012 17:11
Bijvoorbeeld 10.255.24.111-116 (laatste) is helemaal niet zo te subnetteren.
Dat hoeft toch ook helemaal niet? Het gaat (volgens de hackers) toch alleen om adressen van PC's waarop ze malware hebben draaien? Waarom moet dat persé een volledig blok van een subnet/range zijn?
TDeK
@Verwijderd24 augustus 2012 15:48
Een intern IP adres is vanaf het publieke IP adres niet zichtbaar. Ik kan ook wel roepen dat ik 192.168.0.1 heb gehacked, maar dat zegt nog niks over de daadwerkelijke locatie op het internet (public IP).
Damic @TDeK24 augustus 2012 15:55
Hey wat doe je op mijn netwerk????
Tennisbal 24 augustus 2012 16:36
bizar al die hacks. Bijna dagelijks in het nieuws. Waar gaat dat heen...
kimborntobewild @Tennisbal24 augustus 2012 17:14
Niks bizars aan. Gewoon het gevolg van geen prioriteit geven aan (digitale) veiligheid.
En dat is wereldwijd een zeer wijdverspreid probleem.

[Reactie gewijzigd door kimborntobewild op 25 juli 2024 08:19]

_Thanatos_ @kimborntobewild25 augustus 2012 01:34
Dus als ik mijn deur vergeet op slot te doen, is het opeens mijn schuld dat ik bestolen wordt :?

Diefstal of andere criminaliteit is niet "gewoon" een gevolg, het is ALTIJD fout, ongeacht de omstandigheden.
back2basic 24 augustus 2012 15:26
Uit voorzorg sneed Aramco de toegang tot zijn computers van buiten het bedrijf af.
Dit zou toch standaard moeten zijn of zit ik nou verkeerd ?
Cor453 @back2basic24 augustus 2012 15:40
Ik moet toegeven dat ik dat ook normaal zou vinden. Maar de zinsnede is ook wat raar: zijn de uitgaande of inkomende verbindingen (of beiden) afgesloten?
Cronax @Cor45324 augustus 2012 16:16
Ik vermoed dat er bedoeld wordt dat ze de firewall gewoon dichtgedraaid hebben of gewoon heel ouderwets de stekker eruit getrokken hebben.

Afgesloten is altijd een relatief begrip als het om netwerken gaat, als je wil kunnen internetten moet je een verbinding maken dus kan je jezelf niet volledig afsluiten.
Jester-NL @Cronax25 augustus 2012 15:15
Aramco heeft al een ruime week geen internet meer op de werkvloer en alleen interne mail. Gecombineerd met kantoren in meerdere landen is het dus de firewall heel erg dicht. Overigens was de interne mail vlak na de ontdekking ook down, maar dat is in de loop van de afgelopen week weer vrijgegeven.
CptEagle 24 augustus 2012 15:39
De makers van de malware zullen wel geen auto rijden. :+
Verwijderd 24 augustus 2012 19:29
Lol dit doe me denken aan een physics leraar Richard Muller die totaal niet bang was voor terrorisme of atoombommen. Maar voor precies dit :P

Zit al jaren met de vraag waarom hij zo bang was voor strijders voor het goede (Eco-terrorism). misschien heeft ie toch gelijk :) Maarjah aan de andere kant is het best wel een mooie actie :P moeilijke materie..

[Reactie gewijzigd door Verwijderd op 25 juli 2024 08:19]

Jester-NL @Verwijderd25 augustus 2012 15:21
* Jester-NL vraagt zich af waarom dit een "mooie actie" is. En waarom 'eco-terrorisme' 'het goede' zou vertegenwoordigen.

Laat me raden... als door dit soort acties (die hoogstwaarschijnlijk eerder politieke of economische achtergronden hebben dan ecologische) een gigantische lading olie niet in vaten maar over land of in zee terecht zou zijn gekomen, dan was dat dus de schuld van Aramco, en niet van de hackers die -tig duizend onbruikbaar maken?!
Verwijderd 24 augustus 2012 14:36
De reden waarom de brandstofprijzen vandaag in België ineens 10ct gestegen zijn?

Ja, lekker omlaag modden jongens. Goed bezig.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 08:19]

Verwijderd @Verwijderd24 augustus 2012 15:58
Wie weet. Het 'Snijdend Zwaard van Gerechtigheid' heeft toegeslagen, of is het "het botte zwaard van de stompzinnigheid"? Weten die hackers dan niet dat alles wat de olieprijs opjaagt de winsten van oliemaatschappijen alleen maar verhoogt? Hun winsten zijn recht evenredig met de olieprijs en elke onzekerheid helpt de prijzen stijgen. Je kan je afvragen wie die "hackers" werkelijk zijn, een stel onnozelen of een stel uitgekookten?

Als je de oliemaatschappijen wil treffen kan je beter werken aan schone alternatieve energie die mensen zelf kunnen opwekken dan dit soort ongein. Dan moeten we wel af van die toneelspelers die onze tweede kamer bevolken en uit de hand van de oliemaatschappijen eten. Daarom hebben we ook meer aan wikileaks dan hackers die allerlei nonsense aanvallen uitvoeren, het is al net zo onbetekenend als terroristen en helpt alleen het systeem legitimeren.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 08:19]

kimborntobewild @Verwijderd24 augustus 2012 17:08
@Magalaan:
Een nogal ondoordacht verhaaltje.
Weten die hackers dan niet dat alles wat de olieprijs opjaagt de winsten van oliemaatschappijen alleen maar verhoogt?
... is gewoon onzin.
Als een bedrijf opeens hogere kosten heeft, zal men die moeten doorverwerken in hun produkten en daarmee zullen produkten van concurrenten (in dit geval alternatieve energie of andere oliebedrijven) in verhouding goedkoper zijn.
...het is al net zo onbetekenend als terroristen en helpt alleen het systeem legitimeren.
Welk systeem?
Omni @kimborntobewild24 augustus 2012 17:20
Waar je aan voorbij gaat is dat Aramco verreweg het grootste bedrijf ter wereld is, met bovendien de meeste oliereserves. Veel tussenhandelaren en bedrijven doen zaken met zo'n grote speler en zijn veelal gebonden aan een samenwerkingsovereenkomst.

Het is niet zo makkelijk om "even" van de concurrent wat te gaan inkopen als je hele infrastructuur en handelswijze is ingesteld op zakendoen met een bepaalde partner. Je bent veelal gewoon gebonden aan een contract. Saudi Aramco berekent extra kosten gewoon door, de tussenhandelaar op zijn beurt ook weer en dit riedeltje gaat door totdat het bij de consument aan de pomp komt.

Wat dat betreft sluit ik mij geheel aan bij Magalaan.
kimborntobewild @Omni24 augustus 2012 17:40
Waar je aan voorbij gaat is dat Aramco verreweg het grootste bedrijf ter wereld is, met bovendien de meeste oliereserves.
Maakt niks uit. Elk bedrijf (hoe groot ook) wordt minder interessant (t.o.v. andere bedrijven) voor klanten als het opeens duurdere produkten levert.
Veel tussenhandelaren en bedrijven doen zaken met zo'n grote speler en zijn veelal gebonden aan een samenwerkingsovereenkomst.
Oh, en als de produkten opeens duurder worden voor die tussenhandelaren en bedrijven, blijven ze net zo lief bij dat (in verhouding) duurdere bedrijf? Natuurlijk niet.
Samenwerkingsovereenkomsten: die zijn altijd tijdelijk, en daar zullen ook best wel eens voorwaarden in kunnen staan zoals 'geen prijsstijging' over een bepaalde periode of althans 'geen hogere prijsstijging dan de concurrentie'. En als je daar als Aramco zijnde dan opeens niet meer aan kan voldoen, is de overeenkomst gewoon niet meer geldig.
Voor zover zulke overeenkomsten al wettelijk toegestaan zijn (dat je verplicht (jarenlang?) moet afnemen bij één bepaalde leverancier? Lijkt me wettelijk gezien niet eenvoudig indien al mogelijk zonder aan zaken als concurrentievervalsing en monopoliepositiemisbruik te denken).
Het is niet zo makkelijk om "even" van de concurrent wat te gaan inkopen als je hele infrastructuur en handelswijze is ingesteld op zakendoen met een bepaalde partner.
Je bent sowieso al niet zo superslim bezig als je je hele infrastructuur en handelswijze instelt op slechts één partner. Er zullen dan ook weinig bedrijven zijn die zo handelen. En voor zover die er al zijn, die kunnen er evengoed zijn voor andere partners. Als Aramco zijnde ben je gewoon opeens een minder interessante partner als je opeens een duurder produkt zou moeten leveren.
En als je al (bijv. een jaar lang) gebonden bent aan één partner, dan wordt jijzelf minder aantrekkelijk in de markt dus slinkt niet alleen Aramco (zoals in dit voorbeeld) maar ook je eigen bedrijf.
Je bent veelal gewoon gebonden aan een contract.
Contracten lopen ook af; en net zoals ik al zei over overeenkomsten: als Aramco opeens zijn produkten duurder moet leveren, is het nog maar de vraag of dat nog wel voldoet aan die contracten.
Saudi Aramco berekent extra kosten gewoon door, de tussenhandelaar op zijn beurt ook weer en dit riedeltje gaat door totdat het bij de consument aan de pomp komt.
Precies! Je geeft nu echter juist een reden op waarom concurrenten (ander energiebedrijf) van Aramco juist meer zullen gaan verkopen. Als een consument opeens 3 cent meer moet betalen bij een pomp van een Aramco-partner, gaan ze gewoon een pomp verder.

[Reactie gewijzigd door kimborntobewild op 25 juli 2024 08:19]

TDeK
@Verwijderd24 augustus 2012 16:31
Dat zou kunnen, maar ik denk dat de oliemaatschappij daarmee wel een heel groot risico zou nemen. Zeker gezien de manier waarop Aramco gereageerd (zou) hebben direct na de hack, doet vermoeden dat ze juist rust in de markt wilden houden door de aanval te downplayen.
Stel immers dat het waar is, en dat 28.000 pc's en 2.000 servers zijn gewiped (overschreven met random data), dan is het daar nu echt totale paniek. Dit kan best een oorzaak voor een faillissement zijn, ook omdat stuurservers, server met administratie, loonadministratie en wie weet wat nog meer weg kunnen zijn. Dat heb je met een paar maanden niet meer op de rails.
Wellicht zijn er backups, maar in het ergste geval is ook echt alles weg (door het overschrijven met random data kun je er ook geen recovery tooltjes meer op loslaten). Als de hackers de inhoud van de servers nog wel hebben, dan is dat een once-in-a-lifetime-blackmail-opportunity: geef mij x miljard of we vernietigen je gegevens en dan ben jij binnen no-time failliet. Kies maar. In die optiek zou het ook best een concurrent kunnen zijn die hoopt op een gigantische koersval en op een faillissement, zodat zij de boedel goedkoop kunnen overnemen. Klinkt als een streek van Gazprom of Rosneft (kundige Russische staatshackers genoeg).

[Reactie gewijzigd door TDeK op 25 juli 2024 08:19]

Grock @Verwijderd25 augustus 2012 00:11
"en zegt het bedrijf te hebben aangevallen uit wraak voor onderdrukking door Aramco in het Midden-Oosten"

Wraak bekommert zich niet om winsten of prijzen, het kan een gevolg zijn maar niet het primaire doel.

Overigens, Alle oliecontracten bevatten ontbindende voorwaarden en Aramco zal alles doen (daar heeft dit staatsbedrijf alle middelen voor) om de rust op de oliemarkt te bewaren.
Deze hack was inside al eerder bekend en heeft buiten de normale mondiaal financieeleconomische aspecten geen aditionele ppb tot gevolg gehad.
Antwan46 @Verwijderd24 augustus 2012 17:01
Die hackers zijn er op uit om nog meer winst te ontvangen.
Onoffon @Verwijderd27 augustus 2012 10:01
Je FIPO slaat dan ook als een tang op een varken, dus eigenlijk ben jij 'goed bezig' !
yzx @Verwijderd24 augustus 2012 14:39
Nee das omdat die met zijn rood strikje op vakantie wil.


OT: het is precies weer hack seizoen of is de veiligheid weer niet up to date tegenwoordig
Verwijderd 24 augustus 2012 16:16
Misschien heeft Aramco dit zelf wel in scene gezet om zo idd de prijzen op te drijven.....
Verwijderd 25 augustus 2012 11:03
Het kan erger.
Zie "Terzake" gisteravond, 3e item over een cyberwar. Net zo erg als een atoomoorlog.
http://www.canvas.be/prog...cb1%3A13851ce346d%3A-6238

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq