13 juni 2017 08:30

Industroyer-malware legt kritieke industriële SCADA-infrastructuur lam

Nieuwe malware die aan Stuxnet doet denken, is speciaal ontwikkeld om de hardware van het stroomnetwerk aan te vallen en zo elektriciteitspannes te veroorzaken.

Een gevaarlijke nieuwe vorm van malware is op maat geschreven om black-outs te veroorzaken. Het Industroyer-virus valt elektrische subsystemen en schakelaars rechtstreeks aan. Het doet dat door communicatieprotocollen te misbruiken die wereldwijd omarmd worden in de infrastructuursector. Niet alleen elektrische systemen zijn kwetsbaar; ook transport, water, gas en andere netwerken die kritisch zijn voor het functioneren van de maatschappij kunnen potentieel getroffen worden.

De leeftijd van ’s werelds kritische infrastructuur ligt aan de basis. De protocollen die vandaag worden gebruikt om elektriciteits- en andere netwerken aan te sturen, dateren van voor de periode waarin zowat alles aan het internet gekoppeld is. Industroyer kan de protocollen zo misbruiken zonder dat er echt sprake is van een lek.

Fysieke schade

De schade die de malware potentieel kan aanrichten, is tastbaar. In het beste geval schakelt Industroyer delen van de infrastructuur uit zodat een regio tijdelijk zonder stroom zit. In het slechtste geval overbelast de kwaadaardige software het systeem, met hardwareschade tot gevolg. Dat klinkt misschien wel bekend in de oren: de bekende Stuxnet-worm, die in 2010 de nucleaire centrifuges van Irans kernprogramma vernietigde, maakt gebruik van hetzelfde principe.

Industroyer vormt net als Stuxnet destijds geen rechtstreeks gevaar voor je Windowscomputer. De malware richt zich op ICS/SCADA-software. Dat is controlesoftware die instaat voor de operatie en het management van industriële hardware.

Antivirusbedrijf ESET ontdekte en analyseerde de nieuwe malware. Het bedrijf gaat er van uit dat Industroyer verantwoordelijk is voor de aanval op het stroomdistributienetwerk van Kiev in Oekraïne eind vorig jaar. Een groot deel van de hoofdstad zat als gevolg van die aanval een uur lang zonder stroom. De beveiligingsonderzoekers vermoeden dat die aanval niets meer dan een test van de capaciteiten van de worm was.

SCADA

Oude SCADA-systemen zijn notoir kwetsbaar voor malware. Vaak worden ze beveiligd door ze fysiek gescheiden te houden van publieke netwerken. Dat was ook in Iran het geval. Een worm kan zo’n ‘airgap’ echter overbruggen door de computer van een werknemer te infecteren en zo via een USB-stick de sprong naar het gesloten netwerk te maken. Dat vereist een gerichte aanpak, maar is verre van ondenkbaar wanneer criminelen het op kritieke infrastructuur gemunt hebben.

Industroyer is modulair opgebouwd rond een trojaans paard dat verbinding maakt met een command and control-server. Van daaruit installeert de malware de nodige componenten om schade aan te richten, en krijgt het virus de commando’s van de aanvallers. In eerste instantie onderzoekt het virus het netwerk en zoekt het naar aangesloten apparatuur die het kan misbruiken. Vervolgens neemt het de controle over belangrijke hardware over. De malware is geoptimaliseerd om misbruik te maken van vier standaarden: IEC 60870-5-101, IEC 60870-5-104, IEC 61850, en OLE for Process Control Data Access (OPC DA). Systemen van onder andere ABB en Siemens zouden kwetsbaar zijn.

Het virus is technisch erg knap en werd door de makers helemaal geoptimaliseerd om onder de radar te leven in industriële netwerken. Zo kan communicatie met de C&C-server automatisch uitgesteld worden naar periodes waarop de kans klein is dat iemand iets merkt. Bovendien is de malware in staat zichzelf te wissen na het uitvoeren van zijn taak.

Het bestaan van de malware toont aan dat cybersecurity meer is dan alleen het beschermen van bestanden of persoonsgegevens. Door de juiste hardware aan te vallen, kunnen criminelen een land of bedrijf meer (economische) schade berokkenen dan een terrorist of klassiek gewapende crimineel.