'Hackers viseren energiebedrijven'

Malware gaat discreet op 'verkenning' in de computersystemen van onder meer kerncentrales. rv

ESET, een securitybedrijf dat de voorbije jaren enkele cyberaanvallen op het spoor kwam, heeft een nieuwe vorm van malware ontdekt die gericht is op energiebedrijven en andere 'kritische infrastructuur'.

Het platleggen van cruciale infrastructuur door gerichte cyberaanvallen is niet langer een scenario dat is weggelegd voor Hollywoodfilms. In Oekraïne vonden in 2015 en 2016 al twee zware aanvallen plaats die hebben geleid tot een panne van het elektriciteitsnet. De malware die de black-outs veroorzaakte, wordt toegeschreven aan hackers die vermoedelijk gestuurd worden door Rusland.

Het Slovaakse securitybedrijf ESET, dat de in Oekraïne gebruikte malware op het spoor kwam, waarschuwt voor een nieuwe groep hackers die de energiesector en andere belangrijke economische doelwitten in het vizier nemen. De onderzoekers doopten de hackersgroep GreyEnergy.

GreyEnergy ontstond volgens ESET eind 2015, toen in Oekraïne voor de eerste keer het licht uitging. De malware zou vooral ontworpen zijn om discreet op 'verkenning' te gaan in de computersystemen van kritische infrastructuurbedrijven. 'Het is goed mogelijk dat dat gebeurt met het oog op cyberaanvallen', aldus ESET.

Het werkterrein van de hackers lijkt zich bovendien te verplaatsen naar andere landen. 'De voorbije drie jaar was GreyEnergy betrokken bij aanvallen op energiebedrijven en andere doelwitten met een hoge toegevoegde waarde in Oekraïne en Polen', zegt Anton Cherepanov, die bij ESET het onderzoek naar de malware leidt.

De onderzoekers zien ook duidelijke verbanden met TeleBots (ook bekend als Sandworm), de hackersgroep die verantwoordelijk was voor het NotPetya-virus, dat vorig jaar vanuit Oekraïne grote delen van het bedrijfsleven lamlegde. De rederij Maersk werd toen bijzonder zwaar getroffen en leed volgens schattingen 300 miljoen dollar schade. Zowel GreyEnergy als TeleBots maakt gebruik van 'modulaire malware', een soort bouwdoos van schadelijke softwaremodules die de hackers kunnen combineren om het gewenste effect te bereiken.

De modules die ESET kon onderscheppen, waren vooral gericht op het vergaren van informatie in de controlesystemen van infrastructuurbedrijven. De hackers zoeken er bijvoorbeeld mee naar achterpoortjes waarlangs ze virussen in een computersysteem kunnen binnenkrijgen, ze kopiëren bestanden of ze proberen wachtwoorden te achterhalen. Dat zijn allemaal spionagehandelingen die typisch voorafgaan aan een daadwerkelijke aanval.

Het is niet de eerste keer dat een beveiligingsbedrijf waarschuwt voor computeraanvallen op kritische infrastructuur. Symantec zei een jaar geleden dat verschillende energiebedrijven in Europa, de VS en Turkije waren geïnfiltreerd door een Oost-Europese hackersgroep met de naam Dragonfly. Tot grootschalige black-outs is het buiten Oekraïne nog niet gekomen, maar daar mag je volgens experts niet uit afleiden dat de hackers er niet toe in staat zijn.

Westerse inlichtingendiensten gaan ervan uit dat de Russische geheime diensten FSB en GROe achter een groot deel van de cyberaanvallen zitten. Begin deze maand was er nog ophef toen de Nederlandse inlichtingendienst MIVD bekendmaakte dat hij een hacking had verijdeld van de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag. Vier Russische agenten werden toen het land uitgezet.

Lees verder

Advertentie
Advertentie

Tijd Connect