Trojaanse paarden die ontwikkeld zijn om geld van online bankrekeningen te stelen worden ook tegen industriële installaties en fabrieken ingezet, zo heeft een beveiligingsonderzoeker laten weten. Kyle Wilhoit van anti-virusbedrijf Trend Micro ontdekte dertien verschillende soorten malware die zich als software voordeden die in SCADA (supervisory control and data acquisition)-omgevingen wordt gebruikt. Het gaat dan bijvoorbeeld om Siemens WinCC, GE Cimplicity, Advantech en andere human machine interface (HMI)-producten.

Hoewel aanvallen op industriële omgevingen vaak met aanvallen door landen in verband worden gebracht, zou het hier om gewone cybercriminelen gaan. "Het is een interessante trend, traditionele banking Trojans en geen gerichte aanvallen", zo laat Wilhoit tegenover Dark Reading weten. Volgens de onderzoeker richten criminelen hun pijlen op SCADA/ICS-systemen omdat ze zo onveilig zijn.

Virusscanner

Veel HMI-machines draaien op Windows en zouden geen virusscanner gebruiken of worden niet van de laatste signatures voorzien. De meeste malware die Wilhoit tegenkwam zou zonder problemen door een up-to-date virusscanner worden herkend. Hoewel gerichte aanvallen nog steeds een risico zijn moeten beheerders ook rekening met normale "crimeware" houden, aangezien de gevolgen net zo erg kunnen zijn. HMI-systemen zijn zeer gevoelig voor storingen. Een infectie door een banking Trojan kan dan ook net zo goed het systeem onderuit halen.

Wilhoit zag in oktober voor het eerst in piek in de aanvallen, maar weet niet wat de aanleiding is. De criminelen achter de malware gebruiken spear phishingmails en drive-by downloads om de computers te infecteren. Ook worden er valse websites gebruikt die op die bijvoorbeeld op die van Siemens lijken en zogenaamd een WinCC-update downloaden, terwijl dit in werkelijkheid de malware is. Recentelijk ontdekte Wilhoit 32 malware-exemplaren die zich als WinCC-software voordeden. Volgende week zal de onderzoeker tijdens een SCADA-conferentie meer details over zijn onderzoek geven.