ESET: Elektriciteitsnetwerken lopen gevaar door doelgerichte APT’s

Abonneer je gratis op Techzine!

Beveiligingsspecialist ESET heeft aanwijzingen dat hackers met doelgerichte Advanced Persistent Threats (APT’s) mogelijke aanvallen voorbereiden op elektriciteitsnetwerken. Het nu ontdekte GreyEnergy malware framework heeft overeenkomsten met de hackersgroep BlackEnergy die al enkele jaren systematisch aanvallen uitvoert op de Oekraïne.

Tijdens een persevenement in Bratislava, Slowakije maakte de securityspecialist bekend dat de afgelopen tijd bij drie van haar klanten in de Oekraïne en in Polen de nieuwe extreem gevaarlijke APT’s zijn opgedoken. In de signatuur van de APT’s zagen de experts een verwantschap met BlackEnergy, de groep hackers die eind 2015 het elektriciteitsnetwerk in het Oost-Europese land wisten plat te leggen en zo een blackout veroorzaakte.

APT’s zijn cyberaanvallen door hackers die een breed spectrum van technisch complexe aanvalswapens gecombineerd inzetten om hun doel te bereiken. De aanvallers gaan hierbij langdurig tekeer en zijn er duidelijk op gericht om stap voor stap toegang te krijgen. Daarbij wordt geprobeerd zolang mogelijk de activiteiten onder de radar te houden. Tot slot zijn deze hackers erg goed in hun werk, zijn goed georganiseerd en beschikken over ruime financiële middelen.

Links met BlackEnergy en Telebots

Wat de onderzoekers van ESET zeer verontrustte bij de ontdekking van GreyEnergy, is dat de ontdekte malware links heeft met de Telebots-groep. Deze groep kwaadwillenden wordt nadrukkelijk gelieerd aan de beruchte NoTPetya-malware die in 2017, eveneens via een bron in de Oekraïne, wereldwijd grote schade berokkende aan bedrijven als Maersk en Durex. Bovendien wordt Telebots ook gelinkt aan Industroyer, eveneens extreem krachtige malware die het heeft voorzien op de specifieke besturingssystemen van industriële software.

Het tijdspad tussen BlackEnergy en GreyEnergy (bron: ESET)

Structuur GreyEnergy malware

De aangetroffen malware is volgens de onderzoekers modulair opgebouwd. Dit betekent dat de functionaliteit van de malware afhangt van de combinatie van modules die de aanvallers naar de systemen sturen die worden aangevallen. ESET vond onder meer modules voor spionage met backdoors, bestandsextractie, een mogelijkheid om screenshots te nemen of aan keylogging te doen voor het stelen van wachtwoorden en tokens. Specifieke modules om industriële software en besturingssystemen aan te vallen, heeft de securityspecialist niet gevonden.

De nu ontdekte GreyEnergy malware heeft nog geen echte schade toegebracht. De onderzoekers van ESET geven aan dat de software er duidelijk erop is gericht om low profile te blijven en wellicht eerder al schade heeft berokkend die nog moet worden geconstateerd. Of het was malware die specifiek op een ‘verkenningsmissie’ is gestuurd. De ontdekking laat echter wel zien dat nu ook energiebedrijven een doelwit vormen en dat er strategische aanvallen op ICS-werkstations met SCADA-software en -servers kunnen worden uitgevoerd.

Rusland of niet

Wie precies achter GreyEnergy zit, willen de experts van ESET niet kwijt. Zij zeggen dat zij alleen naar de gebruikte technieken kijken en daarbij overeenkomsten zien met de aanvallen van BlackEnergy en Telebots. Wie de aanvallen precies uitvoeren, kunnen zij niet zien. Op de vraag of deze agressieve hackers mogelijk door een nationale staat worden gesteund, Rusland wordt hierbij vaak genoemd, hulden de deskundigen van de securityspecialist zich in een stilzwijgen.