Malware was slechts onderdeel van de sabotage van Oekraïnse energiemaatschappijen

hacker3

Het veroorzaken van de stroomstoring in Oekraïne heeft meer voeten in aarde gehad dan tot nu toe werd gedacht. Niet alleen hebben de aanvallers de systemen van energiemaatschappijen met malware besmet, ook hebben wij zeer waarschijnlijk toegang gehad tot stroomonderbrekers van energiemaatschappijen.

Dit meldt Michael Assante van SANS Institute. De aanval op het Oekraïense energienetwerk zou uit drie onderdelen zijn opgebouwd: een aanval met malware, een Distributed Denial of Service (DDoS) aanval op telefoonsystemen van energiemaatschappijen en het inschakelen van stroomonderbrekers om de uiteindelijke stroomstoring te veroorzaken.

BlackEnergy en KillDisk

Eerder brachten verschillende beveiligingsbedrijven naar buiten dat aanvallers met behulp van malware rond de feestdagen een met behulp van malware een stroomstoring hebben veroorzaakt in de Ivano-Frankivsk regio in Oekraïne. Het zou zijn gegaan om de BlackEnergy malware, die op zijn beurt de KillDisk malware heeft geladen. KillDisk is ontwikkeld om systeembestanden te wissen, waardoor systemen niet meer kunnen opstarten.

Assante stelt echter dat een aanval met KillDisk op SCADA-systemen onvoldoende is om een stroomstoring te veroorzaken. Een energienetwerk kan volgens Assante ook zonder SCADA-systemen functioneren, al brengt dit wel extra risico’s met zich mee. Andere handelingen zouden echter noodzakelijk zijn om de levering van energie door het netwerk daadwerkelijk te onderbreken.

Oplossen van de stroomstoring vertragen

De onderzoeker vermoedt dat de cyberaanval met malware dan ook vooral bedoeld is geweest om de aanval op het Oekraïense energienetwerk te ondersteunen. Zo is KillDisk vermoedelijk gebruikt om SCADA-systemen te beschadigen in een poging het verhelpen van de stroomstoring zoveel mogelijk te vertragen. Om dit proces verder te vertragen werd daarnaast een DDoS aanval uitgevoerd op telefoonsystemen van energiemaatschappijen, waardoor klanten de stroomstoring niet konden doorgeven. Vermoedelijk hebben de aanvallers hiermee gepoogd de stroomstoring zo lang mogelijk ongemerkt te houden.

De volledige analyse van de cyberaanval door Assante is hier te vinden.