Omgevingen van industriële controlesystemen (ICS) zijn al sinds 2011 het doelwit van malware-aanvallen, zo waarschuwt het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid. De malware werd door meerdere bedrijven op de human-machine interfaces (HMIs) aangetroffen die met het internet verbonden waren.

Volgens het ICS-CERT gaat het om een variant van de BlackEnergy-malware. De eerste versie van BlackEnergy werd ingezet voor het uitvoeren van DDoS-aanvallen op Georgië in 2008. De malware is echter ook ingezet om bij gerichte aanvallen vertrouwelijke informatie te stelen. Bij de aanvalscampagne die het ICS-CERT ontdekte zouden gebruikers van verschillende HMI-producten het doelwit zijn geweest, waaronder GE Cimplicity, Advantech/Broadwin WebAccess en Siemens WinCC. Mogelijk zijn ook de producten van andere leveranciers aangevallen, maar dat is op dit moment onbekend.

Impact

Voor zover bekend is de malware niet gebruikt om de controleprocessen van de aangevallen organisaties te beschadigen, aan te passen of op andere manieren te verstoren. Het is niet bekend of de aanvallers vanaf de besmette HMI-systemen toegang tot het onderliggende controlesysteem wisten te krijgen, maar het ICS-CERT stelt dat veel malware over modules beschikt voor het zoeken naar netwerkmappen en verwijderbare media om zich zo lateraal binnen de aangevallen omgeving te kunnen bewegen.

Beheerders van industriële controlesystemen krijgen dan ook het advies om hun omgevingen op malware te controleren. Het ICS-CERT publiceerde dit document met verschillende aanwijzingen om de malware te kunnen detecteren. Verder wordt ook aangeraden om controlesystemen niet direct aan het internet te hangen.