In de Verenigde Staten zijn de controlesystemen van twee energiebedrijven door malware besmet geraakt nadat werknemers geïnfecteerde USB-sticks op de systemen hadden aangesloten. Dat laat het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid weten.

Het ICS-CERT werd de afgelopen drie maanden twee keer ingeschakeld nadat er malware bij industriële systemen was aangetroffen. De eerste keer betrof een energieopwekkingsfaciliteit waar zowel gewone als geraffineerde malware werd aangetroffen.

De malware werd ontdekt toen een werknemer het IT-personeel vroeg zijn USB-stick te controleren, omdat er problemen mee waren. De werknemer gebruikte de USB-stick voor het maken van back-ups van de configuratie van de controlesystemen binnen de industriële controle-omgeving.

Machines
Toen het IT-personeel de USB-stick met een virusscanner scande, werden er drie malware-exemplaren ontdekte. In één geval ging het om bekende, maar geraffineerde malware. Onderzoek van het ICS-CERT wees uit dat een "handvol" machines door de malware besmet was geraakt.

De geraffineerde malware werd op twee systemen aangetroffen, die beiden van essentieel belang waren voor de werking van de controle-omgeving. Er werd een gedetailleerde analyse uitgevoerd, aangezien deze werkstations niet over back-ups beschikten, en het niet verwijderen van de malware grote gevolgen voor de werking zou hebben gehad, aldus het ICS-CERT.

Uiteindelijk werd er met de leverancier van de controlesystemen samengewerkt om een 'schoonmaakprocedure' te ontwikkelen en de malware te verwijderen, wat ook lukte.

Door de infectie ontdekte het energiebedrijf dat het geen back-ups van de twee belangrijke machines had. Het ICS-CERT adviseert energiebedrijven dan ook om over vervangende machines te beschikken, zogeheten 'hot spares', of andere effectieve back-upmogelijkheden.

Tweede incident
Het tweede incident betrof een energiebedrijf dat begin oktober een virusinfectie in een turbine-controlesysteem rapporteerde. Ongeveer tien computer op het controlesysteemnetwerk waren door de malware besmet geraakt. Een technicus van een derde partij had een USB-stick gebruikt om software-updates tijden gepland onderhoud te uploaden.

De technicus wist niet dat de USB-stick met malware besmet was. De infectie leidde tot een downtime van de machines en vertraagde de herstart van de energiecentrale met zo'n drie weken.

Het ICS-CERT adviseert beheerders en eigenaren van kritieke infrastructuur om richtlijnen voor het gebruik van USB-sticks op te stellen.