Aanvallers verspreiden malware via sites fabrikanten industriële systemen

Malwaremakers die zich richtten op industriële systemen hebben hun malafide software verspreid via de sites van de makers van diezelfde systemen. Dat ontdekte beveiligingsbedrijf F-Secure. De malware zorgde onder meer voor een backdoor op getroffen systemen.

Hacker Volgens F-Secure wijzen meerdere elementen in de broncode van de software erop dat de malware de naam Havex draagt. F-Secure wist communicatie met de command-and-control-servers te onderscheppen, en Havex bleek enkel te communiceren met geïnfecteerde systemen bij makers of gebruikers van industriële systemen, hoofdzakelijk in Europa.

De malware-makers infecteerden installatiebestanden op de sites van de fabrikanten met de malware; wanneer gebruikers van de industriële systemen de software installeerden, kregen ze ook de malware meegeleverd. Dat schrijft F-Secure. Ze wisten de setup-bestanden van drie fabrikanten, gevestigd in België, Zwitserland en Duitsland, te infecteren; welke bedrijven het precies zijn, blijft onvermeld. Twee van de fabrikanten leverden beheersoftware voor industriële systemen; de derde maakt nauwkeurige industriële camera's. Los daarvan verspreidden de aanvallers hun malware via e-mail en zogeheten exploit-kits.

Als de software eenmaal geïnfecteerd is, wordt meer software gedownload. Ook wordt het interne netwerk gescand, waarbij specifiek wordt gezocht naar systemen die worden gebruikt voor het aansturen van industriële systemen. Ook kunnen de aanvallers via een backdoor toegang krijgen tot het systeem. Volgens F-Secure wijst dat er op dat het gaat om industriële spionage, al is onduidelijk waarvoor de malware precies wordt gebruikt.

IT-banen

Reacties (25)

Pataar 24 juni 2014 19:08

Dus als het goed is, is er voor ons -normale consumenten- niks of weinig aan de hand?
Overigens vind ik het fijn om F-secure nog eens in het nieuws te zien. Zij leveren ook kpn's beveiligings software PC veilig. Hierover ben ik erg tevreden en het is ook stukken beter dan McAfee.

The Jester @Pataar • 24 juni 2014 22:36

Nou, of er voor de gewone consument niets aan de hand is, zou ik niet zo 1,2,3 durven zeggen.
Stel je voor dat er SCADA-systemen van Unilever zijn geinfecteerd waardoor de productie doelbewust wordt verstoord, en alle controlemechanismen gewoon "groen licht" blijven geven.
Op die manier kan de voedselproductie worden gesaboteerd en zijn de gevolgen niet te overzien. Ook niet (of: juist niet) voor de consument.

Deze manier van malware verspreiden is uiterst smerig. De softwareleveranciers gaan overigens bepaald niet vrijuit, want die checken blijkbaar geen hashes (MD5, SHA, whatever) van de downloadables. Dat is, zeker waar het SCADA-systeemsoftware betreft, crimineel nalatig.

Overigens werk ik voor een zuivelreus. Ik moet er niet aan denken wat malware op onze PLC's zou kunnen aanrichten. Echt huiveringwekkend.
En niet alleen de food sector is het probleem: wat te denken van de SCADA-systemen die de waterhuishouding in Nederland regelen. Of de grids van de stroomproducenten. Allemaal zaken die elke inwoner kei en keihard kunnen raken.

Rembert @The Jester • 24 juni 2014 23:11

Inderdaad. Met dergelijke controle kun je een land volkomen platleggen waarbij de grotere rampdraaiboeken uit de kast gehaald zullen moeten worden.

RadioKies @Rembert • 25 juni 2014 10:37

2 weken geleden lag de stroom in heel Oldenbroek eruit. Doordat er geen stroom was, was er geen water beschikbaar en de telefoonmasten lagen eruit (geen telefoon, geen 3g internet geen 112 alarm centrale). Er was redelijk paniek meteen, zo erg zelfs dat er in de dorpen zoals Wezep een grote menigte voor de supermarkten had verzameld die op het punt stonden de ruiten in te slaan om water en andere dingen te plunderen. De stroom heeft er maar 3 of 4 uur uit gelegen!! binnen 3 a 4 uur waren de mensen dus al in staat om te rellen en te plunderen.

De gevolgen van dit soort malware kunnen heel extreem zijn.

Capstie @RadioKies • 25 juni 2014 12:44

Ik denk dat dat meer zegt over de bevolking daar dan hoe je gemiddelde medemens zou reageren

RadioKies @Capstie • 25 juni 2014 13:15

Een groot deel van de bevolking is helaas zo.

Heb je de intro van (de comedy film met een ernstig werkelijk probleem als ondergrond) Idiocracy gezien? Dit gaat alleen maar erger worden. Daarbij helpen (mooie) ontwikkelingen zoals google glasses ook niet echt mee (want je gaat nog luier worden omdat bijvoorbeeld nadenken wie iemand ook alweer was voor je gedaan wordt).

Idiocracy intro - 1:50
https://www.youtube.com/watch?v=icmRCixQrx8

[Reactie gewijzigd door RadioKies op 25 juli 2024 03:48]

Rembert @Capstie • 27 juni 2014 10:08

Hoe reageer jij zodra je informatievoorziening volkomen op zijn gat ligt? Geen internet, geen telefonie, geen televisie, zelfs geen 112? We leven in een informatiemaatschappij en de informatiestroom is ons infuus. Zodra dat wordt weggenomen kan dat leiden tot overlevingsgedrag: immers niets is meer zeker op dat moment. Je denkt aan je primaire levensbehoeften en zodra ook maar 1 persoon dat hardop zegt, kan het heel snel gaan. In de massa-psychologie is dit systeem heel uitvoerig beschreven. Dit kan heel snel ontaarden in een massa-hysterie zoals Oldenbroek aantoonde - ik wist niet van die situatie trouwens, is kennelijk redelijk uit het nieuws gehouden.

Rembert @The Jester • 27 juni 2014 10:10

Het is mogelijk al gebeurd, met de Havax trojan, een stuxnet-achtige die zich richt op Europese SCADA-systemen.
Zie http://thehackernews.com/...-malware-strikes.html?m=1

The Jester @Rembert • 28 juni 2014 23:12

Heftig!
Ik zal deze link zeker even doorspelen. Even checken of die mbcheck.dll aanwezig is kan zeker geen kwaad. Dank voor de info!

Genetai @Pataar • 24 juni 2014 19:19

Direct niet, indirect heb je er als "normale" consument mogelijk wel last van.

itsyaboy 24 juni 2014 19:31

Ongelofelijk bizar. Wat enorm sneaky om de malware via de websites van de fabrikanten zelf te verspreiden. Het is werkelijk niet meer te geloven waar je tegenwoordig om moet letten. Hoe kan je hier nou als bedrijf het beste mee om gaan? Moeten er dan directe contactpersonen zijn binnen een fabrikant die als primaire taak krijgen om software updates te verspreiden? Straks moet er in een doem scenario nog zo'n figuur overvliegen naar de klant om het daar even zelf te installeren... zie je het al voor je?

jeroenathome @itsyaboy • 24 juni 2014 19:40

Een van de dingen die je kan doen is de aangeboden installatiebestanden periodiek controleren. Een keer in de week beperkt de schade al. Voor de rest zijn er de gebruikelijke dingen die je kan toepassen om de kans te beperken.

100% voorkomen lukt niet. Je kan alleen de kans dat het gebeurt beperken en sneller ontdekken wanneer je er actief mee bezig bent.

Verwijderd 24 juni 2014 20:22

Ik werk voor zo'n high tech bedrijf als sysadmin. Vorige week nog een discussie gehad met management over het gebruik van usb sticks, wat nu niet toegestaan/mogelijk is. Het niet kunnen gebruiken van die sticks is maar lastig, en het interne (van internet afgeschermde) wifi netwerk was ook maar vervelend...

Ik was bijna op zoek gegaan naar een andere baan :-) Als ze het tóch doordrukken ga ik misschien toch eens rondkijken naar een werkgever die wél belang hecht aan het beschermen van bedrijfsgeheimen.

Edit: het gaat hier over websites, maar security in het algemeen is niet een issue bij management, wat ik bij dit topic even wilde aanstippen.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 03:48]

Falcon10 @Verwijderd • 24 juni 2014 22:12

Niet om lullig te doen, maar je weet toch dat Siemens met veel van hun industriele software toestanden gebruik maakt van de keys/serials/licenses etc op een USB stikje vanhen he

Stoney3K @Falcon10 • 25 juni 2014 00:00

Niet om lullig te doen, maar je weet toch dat Siemens met veel van hun industriele software toestanden gebruik maakt van de keys/serials/licenses etc op een USB stikje vanhen he

Dat zijn dan ook read-only USB sticks met alleen een ROM chip erop, daar kun je niks naartoe schrijven.... heeft een virus weinig aan

_Arthur @Verwijderd • 24 juni 2014 21:50

Dat wordt het pas wanneer het bedrijf de pineut is, het management ter verantwoording geroepen wordt en jij daarna de zwarte piet (al dan niet ten dele) toegeschoven krijgt.

Helaas...

Teun Spaans @Verwijderd • 25 juni 2014 07:01

Het veiligheidsbeewustzijn bij het management van veel Nederlandse / europese bedrijven is inderdaad laag te noemen. Misschien dat een deel van de oorzaak zit in de samenwerkingscultuur, die in Nederland dominant lijkt te zijn. En veel managers hebben, mede door een relatief hoog plichtsbesef van hun medewerkers ook geen 'au!-ervaring' op dit gebied.

Als werknemer kun je een aantal dingen doen:
- adviseer een externe dreigings- of risicoanalyse te laten uitvoeren;
- stel een business case op, waarin je kosten en baten op een rijtje zet.
- stel voor een externe security auditor een keer een presentatie voor het management te laten geven
- leg je bezwaren schriftelijk vast

Dat laatste is de minste moeite, is wat we eigenlijk 'indekken' noemen, en mkat je niet populair.
De andere acties zijn pro-actiever, en zullen beter overkomen.

Overigens kom ik het verbieden van usb sticks zelden tegen, ook bij overheidsorgansaties waar wel een behoorlijk veiligheidsbewustzijn is. Een manier om usb sticks voor medewerkers deels bruikbaar te maken is de bestanden daarop standaard te laten encrypten. Daar zijn speciale pakketjes voor. Medewerkers kunnen dan wel onderling informatie uitwisselen, maar niet met hun thuis pc waar je geen controle over hebt. Dat houdt geen malware tegen, maar voorkomt toch wel een hoop ellende.
En nu we het over thuisgebruik hebben: heb je al nagedacht over BYOD strategie? Tegenhouden lukt waarschijnlijk op langere termijn niet, dus maak van te voren een plan hoe je daar mee om wilt gaan.

(edt: typo)

[Reactie gewijzigd door Teun Spaans op 25 juli 2024 03:48]

sleijpie 24 juni 2014 23:09

Indien het industriële systemen infiltreert kan dit grote gevolgen hebben.
De meeste fabrieksbesturingen zitten nooit direct aan het internet gekoppeld en zitten meerdere routers en Firewalls tussen die speciaal hiervoor ontwikkeld zijn. Toch is het niet onmogelijk in mijn ogen.

Maar indien dit gemaakt is om industriële systemen te detecteren dan zal het ook hier doorheen komen. Al is het een kwestie van tijd.

Zullen morgen eens gaan kijken of we er ook last van hebben....

conservare 25 juni 2014 00:12

Beetje knullig van die 'industriële' bedrijven dat hackers zomaar andere programma's op hun website kunnen zetten. Kan dit echt zo gemakkelijk of weet men niet hoe een dergelijke beveiliging in elkaar zit? Een heel gemakkelijke en simpele manier is al gewoon MD5 of SHA256 bestandscontrole toe te passen en deze sleutels op een aparte server op te slagen. Wake up admins!

Falcon10 26 juni 2014 10:08

Bij sommige bedrijven is het gewoon zo gek dat onder het mom van innovatie men met tablets de settings van het DCS systeem wil aanpassen "in the field" dus niet rechtstreeks op het Honeywell/Yokogawa/weet-ik-veel-welke-andere, en via tablet betekend dus wireless. En aangezien je niet overal in de fabriek wireless access points kan zetten, kiest men dan voor 3G/4G ... rechtstreeks in het DCS systeem, zonder firewall tussen.
En dan verschieten als achteraf er rare dingen gebeuren

Stoney3K @Verwijderd • 24 juni 2014 23:59

Geen idee of Siemens hier in mee speelt.

Ik vind het sowieso wel heel vreemd dat de getroffen systeemfabrikanten (Siemens? Omron? Honeywell? Beckhoff?) hier niet bij naam worden genoemd, en in het artikel van F-Secure ook niet. Bang voor gezichtsverlies?

Zo kun je als gebruiker van zo'n systeem niet eens weten of je überhaupt kwetsbaar bent.

De meeste systemen hebben bewust geen virusscanner die permanent draait, juist omdat het de werking van een industriëel systeem compleet overhoop kan gooien. Een proces wat te pas en te onpas real-time in je geheugen loopt te grasduinen, helpt de hele timing om zeep.

DeKemp @Verwijderd • 24 juni 2014 21:55

Amen! Wat een ongelooflijk buggy paket is dat, helaas heb je het nodig. De panels zelf zijn prima.
Nee dan werkt het gewone WinCC (non tia) een stuk beter. Of liever gewoon ifix/cimplicity

schaduwridder @DeKemp • 25 juni 2014 06:34

of liever Reliance 4 als SCADA

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (25)

Sorteer op:

Weergave: