Industroyer2 Malware

Kritieke infrastructuurdiensten in Oekraïne zijn het doelwit geweest van cyberaanvallen, voorafgaand aan en na de Russische invasie van het land. Het lijkt erop dat cybercriminelen nog steeds meer aanvalsoperaties lanceren, met als een van de nieuwste doelen een Oekraïense energieleverancier.

De dreigende campagne probeerde een nieuw stuk malware te gebruiken, genaamd Industroyer2, dat in staat is de ICS (Industrial Control Systems) van het slachtoffer te beschadigen of te verstoren. De operatie was gericht op een elektrisch hoogspanningsstation en heeft naar verluidt zijn snode doelen niet bereikt. Het Oekraïense Computer Emergency Response Team (CERT-UA), Microsoft en het cyberbeveiligingsbedrijf ESET analyseren de aanval. Tot dusverre is de waarschijnlijke boosdoener de Sandworm -bedreigingsgroep, waarvan wordt aangenomen dat deze opereert in opdracht van de Russische inlichtingendienst GRU.

Dreigende kenmerken

De Industroyer2-dreiging lijkt een nieuwe en verbeterde versie van malware te zijn die bekend staat als Industroyer ( CRASHOVERRIDE ). In december 2016 werd de originele Industroyer ingezet als onderdeel van een aanval op een elektrisch onderstation in Oekraïne dat een kortstondige stroomstoring veroorzaakte. Nu wordt de Industroyer2-dreiging op een vergelijkbare manier gebruikt. Het wordt op de beoogde systemen ingezet als een Windows-uitvoerbaar bestand dat op 8 april zou worden uitgevoerd via een geplande taak.

Om te communiceren met de industriële apparatuur van het doelwit, gebruikt Industroyer2 het IEC-104 (IEC 60870-5-104) protocol. Dit betekent dat het beveiligingsrelais in elektrische onderstations kan beïnvloeden. De oudere Industroyer-dreiging was daarentegen volledig modulair en kon payloads inzetten voor verschillende ICS-protocollen. Een ander verschil werd ontdekt in de configuratiegegevens. Terwijl de oorspronkelijke dreiging een apart bestand gebruikte om deze informatie op te slaan, heeft Industroyer2 zijn configuratiegegevens hard gecodeerd in zijn body. Als gevolg hiervan moet elke steekproef van de dreiging specifiek worden afgestemd op de omgeving van het gekozen slachtoffer.