2017, het jaar waarin malware professioneel werd – Deel 1: Industroyer

© Thinkstock
Els Bellens
Els Bellens Technologiejournaliste bij Data News

Eind vorig jaar kreeg een elektriciteitscentrale in Oekraïne te maken met een cyberaanval die de stroom een uur lang platlegde. Het is niet het eerste voorbeeld van een malware die het licht uitdoet, wel een van de eerste vormen van cyberwapens die specifiek voor industriële systemen werden geschreven.

In december 2016 valt in Kiev de stroom uit. Op zich niet zo vreemd. In een land dat – vermoedelijk, want die dingen kunnen nooit volledig worden bewezen – al eens vaker met gerichte aanvallen van andere naties te maken heeft, is het bijna een kersttraditie. Een jaar eerder, in 2015 was het een malware genaamd Blackenergy die de energiecentrales platlegde. Deze keer was de schuldige een stuk software dat de naam Industroyer meekreeg.

De eerste industriële malware

“De aanvallers zijn er in geslaagd om als achterdeur een applicatie te vinden die op maat werd gemaakt door de Oekraïense energiemaatschappij,” zo begint Robert Lipovsky van beveiliger ESET zijn betoog. Hij is een van de onderzoekers die stap voor stap hebben blootgelegd hoe de aanval gebeurde. “Dat programmaatje slaat logs op, telemetriegegevens enzovoort. Maar het slaat die op in een MS SQL database, en de credentials voor die database werden vast gecodeerd in de app. Op die manier konden de aanvallers de database zelf gebruiken om commando’s versturen en om hun kwaadaardige binaries op te slaan. Zo lijkt het alsof er niets vreemds aan de hand is,” legt hij uit.

Leuke extra: als goede computergebruikers hadden de aanvallers een back-up voorzien: een tweede achterpoortje in een app die zich voordeed als Notepad-applicatie. Beiden moesten er vooral voor zorgen dat de eigenlijke aanvalssoftware, de ‘payload’ op het juiste moment in actie schoot.

En die payload is, zo zeggen de onderzoekers van securitybedrijf ESET, het eerste echte voorval van een gespecialiseerde industriële malware. In die zin doet hij wat denken aan Stuxnet, het cyberwapen dat het atoomprogramma van Iran beschadigde. Deze keer spreekt de zorg waarmee de malware werd gemaakt echter van verregaande kennis van de systemen. “De aanvallers gebruikten vier verschillende payloads, elk met een apart protocol, zodat als er eentje werd tegengehouden, een tweede kon verdergaan,” legt ESET-onderzoeker Anton Cherepanov uit. Het uiteindelijke resultaat was dat om te beginnen, alle communicatie met de controller vanuit de eigenlijke controlekamer werd verbroken. Vervolgens werden de zekeringen snel open en dicht gezet. “Het belangrijkste doel,” zegt Robert Lipovsky, “was om de substations zonder elektriciteit te zetten. Maar je kunt een black-out veroorzaken met veel minder complexe malware (zoals Blackenergy). Het verschil is het snel open en dicht zetten van de zekeringsschakelaar. We geloven dat er gehoopt werd dat die zichzelf zouden opblazen en zo misschien meer aanhoudende schade toe te brengen.”

De uiteindelijke malware, zo zegt Lipovsky, was een pakket dat wel lijkt gebouwd om de blackout zo lang mogelijk te laten aanslepen. “Daar zat een denial of service element in, zodat er iemand fysiek naar die substations moest gaan om servers te herstarten. En een data wiper. Die vernietigde de Windows Registry zodat je de machines niet zomaar kon opstarten om de aanval tegen te houden. Dat moet een vervelende situatie geweest zijn, en het is verrassend dat de Oekraïners daar op een uur de schade grotendeels konden herstellen.”

Recyclage

Als bouwpakket of cyberwapen is Industroyer alvast opmerkelijk, maar het spreekt ook van een groot deel ‘handwerk’. Moeten we ons daar zorgen over maken? Zoals vaak bij security-researchers, is het antwoord van Anton Cherepanov een volmondig ‘ja’. “Het probleem is dat deze protocols tientallen jaren geleden werden ontworpen, lang voordat industriële systemen geconnecteerd werden met de rest van de wereld.” De communicatieprotocols die de zekeringen aansturen werden dus niet ontworpen met veiligheid in gedachten. “Dit betekent dat de aanvallers niet moesten zoeken naar kwetsbaarheden in de protocols, ze mosten alleen de malware leren om te ‘praten’ met die protocols,” zegt Cherepanov. En nu dat gelukt is, valt de software vrij makkelijk over te zetten naar andere kritieke infrastructuur.

Morgen: De ‘killswitch’ in Wannacry die helemaal geen killswitch was.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content