Gevaarlijke malware legt stroomnet plat
Twee cyberbeveiligingsbedrijven brachten gisteren hun analyse naar buiten van een stroomuitval in de Oekraïense hoofdstad Kiev in 2016. Die werd veroorzaakt door een cyberaanval met een stuk malware, dat door zijn veelzijdigheid tot nog veel meer aanvallen in staat is, ook in andere landen. Het lijkt erop dat Kiev slechts een test was van de malware.
Op 17 december 2016 viel in de Oekraïense hoofdstad Kiev zo’n vijfde van de totale capaciteit uit van het stroomnet van elektriciteitsbedrijf Ukrenergo. De stroomuitval duurde ruim een uur. Volgens de cyberbeveiligingsbedrijven ESET (Slowakije) en Dragos (VS) is deze blackout veroorzaakt door een cyberaanval met een stuk malware (een samentrekking van malicious software, kwaadaardige software). De bedrijven hebben details hierover openbaar gemaakt. ESET noemt de malware Industroyer, Dragos spreekt van Crash Override. Die viel een verdeelstation aan ten noorden van de stad Kiev.
Volledig automatisch
De malware bevat softwarecode die volledig automatisch acties onderneemt om elektrische substations uit te schakelen. Om te beginnen brengt de software in kaart waar kritische onderdelen zich bevinden en hoe ze werken in de praktijk. Volgens die methode kan de malware bepaalde schakelaars herkennen en open zetten, zodat de stroomvoorziening wegvalt. Tegelijk wordt de software voor die schakelaars gewist, zodat een operator die niet meer van afstand kan sluiten. Die moet dus fysiek naar de installatie komen, wat extra tijd kost.
Verschillende landen
Industroyer/Crash Override heeft vier modules aan boord om aanvallen uit te voeren. Elke module communiceert via een ander protocol met de apparaten in het stroomnet. Afhankelijk van welke protocollen in een bepaald land worden gebruikt, zet de malware een betreffende module in. Dit wijst er ook op dat de malware speciaal is geschreven om in verschillende landen te worden ingezet. De stroomuitval in de Oekraïne was waarschijnlijk maar een test, en de beheerders van stroomnetten in andere landen doen er goed aan om hun beveiliging te checken.
Schaalbaar
Volgens Wired zijn voor het inzetten van de malware veel minder mensen nodig dan voor eerdere cyberaanvallen. Dat betekent dat deze manier van aanvallen beter schaalbaar is. ‘Hadden de hackers in 2015 nog twintig mensen nodig om drie elektriciteitsbedrijven aan te vallen, nu zouden diezelfde twintig man wel vijftien plekken tegelijk kunnen aanvallen’, aldus Robert M. Lee van Dragos tegen Wired.
Het is niet bekend hoe de malware op de systemen van het Oekraïense elektriciteitsbedrijf terechtkwam. Het is goed mogelijk dat hiervoor phishing-e-mails zijn gebruikt, denkt ESET. Dit zijn nepberichten met een link die na klikken ervoor zorgt dat een stukje kwaadwillende software naar de ontvanger wordt gestuurd.
Rusland
Wie er achter de malware zit, kunnen de bedrijven niet met 100 % zekerheid zeggen. Veel tekenen wijzen op Rusland, aangezien de Oekraïne al een jaar of drie last heeft van cyberaanvallen, een periode die samenvalt met de invasie van Rusland in De Krim en de aanwezigheid van Russische militairen in Oost-Oekraïne. Ook zegt Dragos dat de hackers in 2016 bij hun aanval op het stroomnet van Kiev dezelfde computersystemen gebruikten als bij een eerdere cyberaanval op de Oekraïne in 2015, die wordt toegeschreven aan Russische hackers.
Stuxnet
De cyberaanval doet denken aan Stuxnet, de computerworm die in 2010 in Iran een aantal ultracentrifuges beschadigde waarmee het land uranium verrijkte (lees: ‘Computerworm Stuxnet legt fysieke processen in fabrieken plat’). Daarmee ging er een schok door de computerwereld. Voor het eerste realiseerden veel mensen zich dat het mogelijk was om met software de processen in een fabriek in het honderd te laten lopen (lees ook: ‘Hackers gevaar voor chemiefabriek’ en ‘Onveilig Internet of Things vraagt om actie’). Volgens de analisten is Industroyer/Crash Override pas het tweede stuk kwaadwillende software dat speciaal is ontworpen om fysieke industriële installaties lam te leggen.
Openingsbeeld: een verdeelstation van het elektriciteitsnet, niet in de Oekraïne. Foto Vattenfall
Illustratie ESET