De aanvallers achter de Havex-malware, die via de officiële websites van verschillende industriële softwareleveranciers werd verspreid en het op Europese energiebedrijven had voorzien, gebruikten onder andere de website van de Belgische routerfabrikant eWON voor hun aanval.

Dat laat het bedrijf zelf via een verklaring weten. Vorige week kwam het Finse anti-virusbedrijf F-Secure met het nieuws over de Havex-malware. De malware viel op vanwege de gebruikte verspreidingsmethode, namelijk het vervangen van legitieme downloads op de websites van industriële softwareleveranciers door kwaadaardige downloads. Klanten die dachten legitieme software te installeren haalden in werkelijkheid een Trojaans paard binnen.

Daarnaast is Havex opmerkelijk omdat het informatie over aangesloten industriële controlesystemen (ICS) verzamelt. In bepaalde gevallen laat de malware hierbij de systemen van energiebedrijven crashen. Het was bekend dat de getroffen softwareleveranciers uit België, Zwitserland en Duitsland kwamen, maar niet om welke bedrijven het ging.

Aanval

eWON, een bedrijf dat industriële routers en bijbehorende software aanbiedt, heeft nu openheid van zaken gegeven en laat weten dat het begin dit jaar slachtoffer van een cyberaanval is geworden. De aanvallers wisten toegang tot de website ewon.biz te krijgen en plaatsten daar een kwaadaardige versie van de software. Vervolgens wijzigden de aanvallers alle downloadlinks op de website, zodat die naar de besmette versie wezen. De malware die in de software zat verstopt kon de Talk2M-inloggegevens van besmette gebruikers stelen. Talk2M is een VPN-oplossing waarmee het mogelijk is om op afstand toegang tot industriële systemen te krijgen.

Op 27 januari van dit jaar ontdekte het bedrijf de aanval, waarbij de gehackte website werd opgeschoond en beveiligd. Ook werd van alle gebruikers het wachtwoord gereset en controleerde het bedrijf of er geen besmette gebruikers binnen het bedrijf waren. Vervolgens werd op 30 januari de toegang tot het platform via de gecompromitteerde software uitgeschakeld en een update uitgebracht die het probleem verhielp. Deze versie is volgens eWON immuun voor malware en beschikt over een automatische verwijdertool om de malware op een besmet systeem te detecteren en te verwijderen. De besmette versie was inmiddels al 250 keer gedownload.

Verder werd er naar nieuwe gebruikers en wachtwoordaanpassingen gekeken die mogelijk door de aanvallers waren uitgevoerd. Alle potentiële gecompromitteerde inloggegevens werden zodoende uitgeschakeld. Ook deed het bedrijf aangifte bij de Belgische politie. De routerfabrikant maakte hier op 30 januari ook melding van op de eigen website. Inmiddels zijn er vijf maanden sinds het incident verstreken en eWON zegt dat het geen aanwijzingen heeft dat Talk2M-accounts op ongeautoriseerde wijze zijn gebruikt.