De Industroyer-malware die gisteren werd onthuld is niet te vergelijken met de beruchte Stuxnetworm, zo stellen experts. Industroyer, ook bekend als CrashOverride, is malware die industriële systemen kan saboteren. In tegenstelling tot Stuxnet maakt Industroyer geen gebruik van zerodaylekken.

Ook probeert het beheerders niet op het verkeerde been te zetten, zoals Stuxnet deed, en kan het zich voor zover bekend niet automatisch verspreiden. Daarnaast is de malware zelf ook niet geraffineerd, aldus Robert Lee, medeoprichter van beveiligingsbedrijf Dragos. Dragos kwam gisteren naast het Slowaakse anti-virusbedrijf ESET ook met een analyse van de malware, die het CrashOverride noemt. Het vermoeden bestaat dat de malware eind vorig jaar is ingezet tegen Oekraïense energiebedrijven, waardoor 225.000 mensen enige uren zonder stroom kwamen te zitten.

Volgens Lee bevat de malware allerlei functionaliteit die niet bij de aanvallen in de Oekraïne is gebruikt. "Dit suggereert dat het werd voorbereid om op meerdere plekken te worden gebruikt", aldus de onderzoeker tegenover Vice Magazine. Waar ESET het de grootste dreiging voor industriële controlesystemen sinds Stuxnet noemt, de worm die een Iraanse uraniumverrijkingscentrale saboteerde, ziet Lee dit anders.

De expert stelt dat de ontdekking van de malware belangrijk is, maar dat Industroyer ontwikkeld is om systemen te ontregelen, en niet te vernietigen zoals Stuxnet deed. De malware is verder niet geraffineerd. Wat het echter doet opvallen is de protocollen waar het mee kan communiceren. Ook beveiligingsexpert Rickey Gevers van RedSocks stelt dat Industroyer niet met Stuxnet is te vergelijken. "Stuxnet was kunst, Industroyer niet", zo laat hij op Twitter weten. Gevers maakt de vergelijking tussen een heel precies sluipschuttersgeweer en een shotgun.

Lee laat in de analyse van Dragos weten dat de malware kan worden gebruikt om een stroomstoring van enkele uren te veroorzaken, of mogelijk zelfs enkele dagen als de malware gelijktijdig op meerdere plekken wordt gebruikt. "Het is echter belangrijk om te weten dat dit geen catastrofaal scenario is", aldus de onderzoeker. Volgens Lee zou het veroorzaken van een stroomstoring van meerdere dagen mogelijk, maar niet eenvoudig zijn. Hij waarschuwt dan ook voor onterechte doemscenario's en speculaties.

Industroyer mag dan niet te vergelijken zijn met Stuxnet, het kan wel voor problemen zorgen. Vanwege de ontdekking hebben het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) en het National Cybersecurity and Communications Integration Center (NCCIC) een aparte waarschuwing afgegeven. Volgens de instanties zijn er nog geen aanwijzingen dat de malware de Amerikaanse vitale infrastructuur heeft aangevallen, maar kunnen de technieken, tactieken en procedures van de malware worden aangepast om dit wel mogelijk te maken.