Nieuws
image

Havex-malware laat systemen energiebedrijven crashen

dinsdag 1 juli 2014, 12:28 door Redactie, 3 reacties

De Havex-malware waarvoor vorige week werd gewaarschuwd en die in de downloads van drie industriële softwareleveranciers zat verstopt, laat de systemen van energiebedrijven crashen. Dat meldt het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid.

Havex heeft het voorzien op computers van Europese energiebedrijven. Het werd onder andere verspreidt via de websites van drie softwareleveranciers voor industriële controlesystemen (ICS). De aanvallers wisten toegang tot de websites te krijgen en voegden malware aan de legitieme downloads toe. Die werd vervolgend door de energiebedrijven gedownload en geïnstalleerd, waardoor de systemen besmet raakten.

Informatie

Eenmaal actief op een systeem gebruikt Havex de OLE for Process Control (OPC) standaard om allerlei informatie over aangesloten controlesystemen te verzamelen. OPC voorziet in een universele interface voor de communicatie tussen enerzijds procesbesturingssystemen van verschillende fabrikanten en anderzijds aangesloten industriële controlesystemen.

De informatie die Havex verzamelt bestaat uit Class Identification (CLSID), servernaam, Programma ID, OPC-versie, leveranciersinformatie, serverbandbreedte en operationele staat. Naast de meer generieke OPC-serverinformatie kan de malware ook de server om 'tagnaam', type, toegang en ID vragen.

De malware zou volgens het ICS-CERT geen wijzigingen aan aangesloten systemen doorvoeren. Uit verschillende tests met Havex kwam echter naar voren dat de malware verschillende OPC-platformen laat crashen, wat een denial of service kan veroorzaken bij applicaties die van OPC-communicatie afhankelijk zijn.

Downloads

Nadat vorige week het Finse F-Secure met het nieuws over Havex kwam heeft nu ook Symantec een rapport over de malware gepubliceerd. Daarin staat dat één van de kwaadaardige downloads al 250 keer was gedownload voordat de softwareleverancier de aanval ontdekte. Bij de tweede leverancier zou de aangepaste download waarschijnlijk zes weken zijn aangeboden. Het derde bedrijf ontdekte de aanpassing van de aangeboden software na tien dagen.

Reacties (3)
01-07-2014, 14:15 door Anoniem
Het lijkt een bug te zijn dan vind ik de titel een beetje misleidend. Wellicht "per ongeluk" toevoegen. Werden de binaries niet gesigneerd of kon men dit op afstand als aanvaller ook doen?
01-07-2014, 14:32 door Anoniem
Het lijkt of het is? afaik zegt ics cert niets over een bug "ICS-CERT testing has determined that the Havex payload has caused multiple common OPC platforms to intermittently crash". Maakt voor eindresultaat natuurlijk ook niet uit, zal denk ik ieder een worst zijn of je systeem per ongeluk of met opzet crasht :-)
03-07-2014, 11:56 door Anoniem
Waarom deden de energiebedrijven eigenlijk 'zomaar' software downloaden? Dat is voor normaal gebruik toch helemaal niet nodig, als je centrale normaal loopt. "Laat ik eens even een downloadje doen".

Heeft het misschien te maken met patches voor OpenSSL dat in die producten zat, en waarvoor men dus wel iets moest downloaden?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search