KillDisk en BlackEnergy: niet alleen een gevaar voor de energiesector

blackenergyBegin deze maand berichtten we over de aanval op het energienet in Oekraïne en later ook Israël. Uit de rapporten bleek dat de zes uur durende stroomstoring in Oekraïne veroorzaakt werd door een cyberaanval waarbij malware werd ingezet. Deze aanval bleek echter niet op zichzelf te staan. Ook andere elektriciteitsbedrijven in Oekraïne bleken namelijk doelwit te zijn.

Uit onderzoek blijkt dat het type malware dat hier gebruikt werd, BlackEnergy genaamd, de systemen van de centrale na een succesvolle spear-phishing-aanval heeft geïnfecteerd. BlackEnergy is een Trojan malware, die ontwikkeld is om DDoS-aanvallen mee uit te voeren, custom spam te downloaden en plugins die bankgegevens stelen te installeren. Daarnaast is bekend dat BlackEnergy vaak gebruikt wordt in combinatie met KillDisk, dat systemen onbruikbaar kan maken en kritische componenten van een geïnfecteerd systeem kan vernietigen.

Recente informatie over BlackEnergy biedt nieuwe inzichten, naast onze eerdere bevindingen, rondom de eerste grootschalige gecoördineerde aanval op industriële netwerken. Uit ons onderzoek blijkt namelijk dat de aanvallers achter de uitval van de twee elektriciteitscentrales in Oekraïne in december vorig jaar, waarschijnlijk ook hebben geprobeerd om vergelijkbare aanvallen uit te voeren op een mijnbouwbedrijf en een grote spoorwegorganisatie in Oekraïne.

Politiek motief
Dat laat zien dat BlackEnergy niet slechts een probleem binnen de energiesector is, maar zich heeft ontwikkeld tot een dreiging voor organisaties in alle sectoren, zowel publiek als privaat. Hoewel het motief voor deze recente aanvallen nog steeds een onderwerp van gesprek is, lijken de aanvallers gericht te zijn geweest op het platleggen van de publieke en kritieke infrastructuur van Oekraïne. Dat zou kunnen duiden op een politiek motief.

BlackEnergy en KillDisk
Uit ons onderzoek bleek onder meer dat de Prykarpattya Oblenergo en Kyivoblenergo centrales niet de enige doelen waren van de nieuwste BlackEnergy-campagne. Op basis van telemetriedata van open-source intelligence (OSNIT) en het Trend Micro Smart Protection Network, zien we dat samples van BlackEnergy en KillDisk mogelijk gebruikt zijn bij een aanval op een groot Oekraïens mijnbouwbedrijf en een grote spoorwegmaatschappij. De mogelijke infectie bij het mijnbouwbedrijf en de spoorwegorganisatie lijken van dezelfde BlackEnergy- en KillDisk-infrastructuur gebruik te maken als bij de aanval op de twee energiecentrales. De belangrijkste onderzoeksresultaten met technische achtergronden lees je hier.

Opvallende overeenkomsten
Er zijn opvallende overeenkomsten tussen het type malware dat gebruikt is bij de aanval op het Oekraïense elektriciteitsnet, de infrastructuur, de naamgeving en tot op zekere hoogte ook de timing van het gebruik van de malware. Dit doet ons geloven dat de aanvallers achter de elektriciteitscentrale ook aanvallen uitvoeren op spoorwegmaatschappijen en mijnbouwbedrijven in Oekraïne.

Er is een aantal motieven de bedenken voor deze aanvallen. Eén daarvan is dat de aanvallers Oekraïne hebben willen ontwrichten via een grote of aanhoudende verstoring van de energie- mijnbouw- of transportfaciliteiten in het land. Een andere mogelijkheid is dat de aanvallers malware hebben geïmplementeerd binnen verschillende kritieke infrastructurele systemen, om daarmee te bepalen welke het eenvoudigst te infiltreren en vervolgens over te nemen is. Een gerelateerde theorie is dat de infecties in de mijnbouw- en treinbedrijven slechts voorbereidende infecties waren, waarbij de aanvallers slechts geprobeerd hebben de basiscode te testen.

Welk motief er ook achter deze aanvallen schuilgaat, een dergelijke aanval tegen Industrial Control Systems (ICS) moet met grote ernst en prioriteit worden bekeken vanwege de grote gevolgen die het kan hebben voor de maatschappij. Deze aanvallen laten opnieuw zien dat elke organisatie, ongeacht de sector waarin het actief is of grootte ervan, doelwit kan worden van een cybercrimineel.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *