Securityresearchers hebben een malware gevonden die zich specifiek richt op het lamleggen van elektriciteitsnetwerken. De malware krijgt de naam Industroyer of Crashoverride mee, en zou verantwoordelijk zijn voor een elektriciteitspanne in Oekraïne.
Volgens antivirusbouwer ESET kan de nieuwe malware wel eens een dreiging zijn van het niveau van Stuxnet. De Win32/Industroyer malware zit volgens researchers bij ESET achter de elektriciteitspanne die Kiev, hoofdstad van Oekraïne, een uur lang zonder stroom zette eind 2016. Een rapport van een tweede securityfirma, Dragos, heeft het over de malware ‘Crashoverride’.
De malware is opvallend omdat ze niet, zoals vaker, Unix- of Windows-systemen aanvalt, maar specifiek gefocust is op industriële processen. Volgens de onderzoekers kan ze schade aanbrengen aan elektrische infrastructuur, maar kan ze ook vrij makkelijk worden aangepast om andere types van kritieke infrastructuur binnen te dringen, zoals water en gas. Industroyer zou in staat zijn om bijvoorbeeld de controle over schakelaars en hoofdzekeringen van een elektriciteitssysteem over te nemen.
Volgens het rapport gebruikt Industroyer de bestaande protocols op de exacte manier waarop ze ooit ontworpen zijn, meerdere decennia geleden. Toen bleven industriële systemen nog netjes geïsoleerd van de rest van de wereld, en de communicatieprotocols die hen aansturen zijn dus niet goed beveiligd. ESET schrijft dat aanvallers niet eens moeten zoeken naar kwetsbaarheden in de protocols, ze moesten alleen maar malware schrijven die in staat is om te ‘praten’ op dezelfde manier als die protocols.
Stuxnet
Technisch gezien is de malware modulair opgebouwd. Hij bestaat uit een ‘backdoor’ component waarmee aanvallers binnendringen in het systeem. Die installeert de andere componenten en maakt een verbinding met de server van de hackers, om vandaar bevelen te krijgen. De ‘payload’ componenten, de stukjes software die de eigenlijke aanval uitvoeren, kunnen controle overnemen over switches en zekeringen in een elektrisch onderstation (een deel van het hoogspanningsnet).
De Industroyer malware doet ondertussen een beetje denken aan het Stuxnet virus, een van de eerste bekende industriële wormen. In tegenstelling tot bekende malware zoals WannaCry, dat individuele computers aanviel, was Stuxnet specifiek gebouwd als oorlogswapen. Het zou onder meer gebruikt zijn Irans wapenprogramma schade toe te brengen. Deze nieuwe Industroyer malware lijkt voorlopig alleen te zijn gebruikt in aanvallen op Oekraïne.
Fout opgemerkt of meer nieuws? Meld het hier