Het Oekraïense Computer Emergency Response Team zegt een aanval tegen zijn elektriciteitsnet te hebben afgeslagen. Hij zou zijn uitgevoerd door Sandworm, een groep gelinkt aan de Russische geheime dienst.
De aanvallers zouden geprobeerd hebben om verschillende elektrische substations van een ongenoemde provider uit te schakelen. Ze gebruikten daarvoor een nieuwe versie van de Industroyer malware. Die laatste was op kerstdag 2016 verantwoordelijk voor een black-out grote delen van Oekraïne.
Onderzoekers van beveiligingsfirma ESET hebben de malware ondertussen bekeken. In een persbericht zeggen ze vrij zeker te zijn dat de malware, specifiek bedoeld voor industriële controllers, gebouwd is met de broncode van de ‘originele’ Industroyer die in 2016 werd uitgerold.
ESET heeft de nieuwe variant dan maar de naam ‘Industroyer2’ meegegeven en hij werd blijkbaar uitgerold in een poging om hoogspanningsstations te beschadigen, zo schrijft het bedrijf in zijn analyse. De malware werd ingezet in combinatie met een reeks ‘wiper malwares’ die voornamelijk dienen om gegevens te vernietigen. Daaronder ook CaddyWiper, de wiper malware die we al eerder in de oorlog zagen opdagen in Oekraïne. Die laatste werd bij deze aanval geplaatst op Windows-systemen, ogenschijnlijk in een poging om sporen te wissen.
Volgens de Oekraïense CERT kregen de aanvallers voor 22 februari toegang tot de systemen en waren ze van plan om de elektriciteit in een regio van het land af te sluiten op 8 april. Hoe de aanvallers op het systeem van de elektriciteitsprovider geraakten, is niet bekend. CERT zegt dat het de aanval voorlopig heeft afgewend.
Cyberoorlog
Het gaan om een zoveelste cyberaanval in het land, die klaarblijkelijk wordt gebruikt om de militaire invasie door Rusland te ondersteunen. Beveiligers, waaronder ESET, vonden eerder al meerderewipers die in het land sinds het begin van de oorlog werden ontplooid tegen infrastructuurdoelwitten, overheidsorganen, banken en zelfs satellietnetwerken. Amerikaanse veiligheidsdiensten legden vorige week naar eigen zeggen ook een botnet neer dat door Sandworm werd gebruikt, terwijl Microsoft zegt dat het domeinen van het net haalde die werden gebruikt door Fancy Bear, ook al een groep gelinkt aan de Russische geheime dienst.
Fout opgemerkt of meer nieuws? Meld het hier