Industroyer: En toen ging het licht uit…

Of (nog) niet? Na alle WannaCry varianten en andere nieuwe manieren om computergebruikers en...

Secwatch

Gepubliceerd op 26-06-2017


Of (nog) niet?

Na alle WannaCry varianten en andere nieuwe manieren om computergebruikers en bedrijven over de gehele wereld proberen te gijzelen, steekt nu een nieuwe malware zijn kop boven het maaiveld uit. Niet de computergebruiker, niet de bedrijfsserver en zelfs niet de mobiele gebruiker, maar de IT-infrastructuur achter de elektriciteitsnetten en andere nutsvoorzieningen zijn nu het nieuwe doelwit van hackers geworden.

Op zich is dit geen nieuws, want er zijn al jaren verhalen bekend van succesvolle en minder succesvolle infiltraties op de IT achter energievoorzieningen. Zelfs met een ‘positieve’ invalshoek, waarbij Iraanse nucleaire installaties met behulp van de door Amerika en Israël ontworpen Stuxnet worminfecties in 2010 werden beschadigd en buiten werking werden gehouden. Maar over het algemeen zijn de bedoelingen toch minder mild gestemd.

De naam lijkt te komen uit een aflevering van Star Wars, maar Industroyer richt zich echt op het vernietigen of beïnvloeden van de industriële automatisering. Industroyer is een flexibele vorm van malware die zich heel eenvoudig verder laat ontwikkelen en invloed kan hebben op verschillende vormen van industriële controlesystemen. Volgens onderzoekers is Industroyer gevaarlijk en kan het nog veel gevaarlijker worden omdat het gebruik maakt van de oorspronkelijke communicatieprotocollen zoals die decennia geleden zijn ontwikkeld voor industriële omgevingen. Aangezien indertijd security een minder groot aandachtspunt was, zijn deze protocollen ook niet voorzien van beveiligingsmogelijkheden en kan de malware er eenvoudig gebruik van maken.

De huidige vorm van Industroyer levert een gevaar op voor tussenstations en schakeleenheden van elektriciteitsvoorzieningen. De malware is in staat om schakelaars en stroomverdelers zodanig te besturen, dat niet alleen bepaalde zaken kunnen worden uitgeschakeld, maar ook een direct gevolg kunnen opleveren voor alle achterliggende systemen. Het hiermee ontstane domino-effect kan grote industriële en bedrijfskritische, maar ook economische gevolgen hebben.

Of Industroyer al succesvol is of is geweest is niet bekend, maar het risico is aannemelijk en groot. Industriële systemen kennen een andere wijze van updaten en upgraden en zijn niet altijd voorzien van de laatste technologieën. Deze huidige versie lijkt duidelijk te zijn ontwikkeld met kennis van deze wereld en is voorzien van verschillende alternatieven mocht een bepaald onderdeel toch worden ontdekt of afgeschermd. Industroyer is daarmee flexibel genoeg om zich toegang te verschaffen tot binnen in cruciale systemen.

Met de blik vooruit naar een brede inzet van het “Internet of Things” (IoT) waarmee een grote variatie aan eenvoudige, maar via internet gekoppelde systemen informatie verzamelen en versturen, moeten we ons terdege ervan realiseren dat security een cruciaal en onlosmakelijk onderdeel moet zijn van ieder automatiseringssysteem, hoe simpel of complex ook.

Meer informatie van ESET is hier te vinden: ESET discovers dangerous malware designed to disrupt industrial control systems

Gerelateerde onderwerpen

Telefoonnummer gekopieerd naar klembord