De Havex-malware die deze zomer werd ontdekt en opviel doordat het informatie over aangesloten industriële controlesystemen (ICS) verzamelt had niet de energiesector als doelwit, maar farmaceutische bedrijven. Dat beweert ICS-beveiligingsexpert Joel Langill aan de hand van eigen onderzoek.

Naast het verzamelen van ICS-informatie viel Havex ook op vanwege een opmerkelijke verspreidingsmethode, namelijk het vervangen van officiële downloads op de websites van drie industriële softwareleveranciers door kwaadaardige downloads. Klanten die dachten legitieme software te installeren haalden in werkelijkheid een Trojaans paard binnen. Verder verspreidde Havex zich ook via e-mailbijlagen en drive-by downloads.

Twee van de gehackte softwareleveranciers leveren remote managementsoftware voor ICS-systemen, terwijl de derde industriële camera's en gerelateerde software ontwikkelt. Zodra gebruikers de getrojaniseerde software installeerden werd er een backdoor op de computer geopend. Daarnaast kan Havex aanvullende malware downloaden en wordt er informatie over aangesloten SCADA- en ICS-systemen verzameld, hoewel het hierbij systemen ook kon laten crashen.

Farmaceutische industrie

Langill stelt dat van duizenden ICS-leveranciers de drie aangevallen leveranciers producten en diensten leveren die voornamelijk door de farmaceutische industrie worden gebruikt en niet door de energiesector. Ook wijst de expert naar overeenkomsten tussen de Havex-aanvallen en een andere aanvalscampagne genaamd Epic Turla, die het ook op intellectueel eigendom van farmaceutische bedrijven had voorzien. Volgens de onderzoeker zit waarschijnlijk hetzelfde team achter zowel Turla als Havex.

Als derde punt voor zijn theorie noemt Langill dat de Havex-malware over een industriële protocolscanner beschikt die naar apparaten op TCP-poorten 44818 (Omron, Rockwell Automation), 102 (Siemens) en 502 (Schneider Electric) zoekt. Deze producten zouden vaker geïnstalleerd zijn voor verpakkings- en fabricagetoepassingen voor consumentengoederen, zoals de farmaceutische industrie, in plaats van de energie-industrie. Volgens de onderzoeker hadden de aanvallers het waarschijnlijk voorzien op informatie over medicijnen en productiegegevens van fabrieken.