Eerste stroomstoring door cyberhack in Oekraïne

Het is iets waar al een tijdje voor gevreesd wordt. Er zijn al verschillende pogingen geweest maar deze zijn nog nooit succesvol geweest. Tot vorig jaar december dus, zo blijkt nu.

De stroomstoringen die toen in Oekraïne plaatsvonden zijn het directe gevolg van cyberspionage. De digitale spionnen en hackers gebruikten speciale malware die industriële systemen kan saboteren.

Op 23 december 2015 werden bijna 700.000 mensen in de Ivano-Frankivsk-regio in Oekraïne getroffen door een stroomstoring van enkele uren. En dat incident stond niet op zichzelf. Tegelijkertijd werden ook andere energiecentrales in het land onder vuur genomen door cybercriminelen.

De aanvallers kwamen binnen via de zogeheten ‘BlackEnergy’ malware. Vervolgens konden ze een aangepaste variant van de malware ‘KillDisk’ achterlaten, waardoor de getroffen systemen niet meer konden starten.

BlackEnergy & KillDisk

Het Trojaanse paard BlackEnergy is modulair en bestaat uit verschillende downloadbare componenten die elk specifieke taken uitvoeren. In 2014 werd het gebruikt in een serie cyberspionage-aanvallen gericht op belangrijke overheidsgerelateerde doelen in Oekraïne.

De eerste bekende link tussen BlackEnergy en het zeer destructieve Trojaanse paard KillDisk werd gerapporteerd in november 2015, door de Oekraïense cybersecurity-instelling CERT-UA. Toen werden enkele nieuwsmedia getroffen, precies in de periode van de lokale verkiezingen. Volgens CERT-UA vernietigden de aanvallers daarbij veel videomateriaal en verschillende documenten.

De KillDisk-variant die men gebruikt heeft in de recente aanvallen was ‘geoptimaliseerd’ voor het aanvallen van energiecentrales. De normale variant wist systeembestanden en maakt daarmee een systeem volledig onklaar. Maar de gebruikte variant bevatte code die specifiek gericht was op industriële systemen.

Herstel

“Behalve de reguliere KillDisk-functionaliteit, probeerde deze variant ook processen uit te schakelen die wellicht behoren bij een in de industrie veelgebruikt platform voor Industrial Control Systems“, aldus Anton Cherepanov, malware-onderzoeker bij ESET.

Als de malware deze processen aantreft, dan schakelt het deze niet alleen uit, maar overschrijft het bijbehorende uitvoerbare bestand met willekeurige gegevens. Dat maakt het systeemherstel veel lastiger.

“Onze analyse van de destructieve KillDisk-malware die we aantroffen in verschillende elektriciteitsbedrijven in Oekraïne toont aan dat dezelfde middelen zijn gebruikt als bij de aanval op de Oekraïense media. En die middelen kunnen kritische systemen platleggen“, zo is de conclusie van Cherepanov.

[Afbeelding © Stockr – Fotolia]