Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Redactie - 13 april 2022

Russische hackers richten pijlen op elektriciteitsnet Oekraïne

Security Data protection Energy
Russische hackers richten pijlen op elektriciteitsnet Oekraïne image

Het Oekraïense Computer Emergency Response Team zegt een aanval tegen zijn elektriciteitsnet te hebben afgeslagen. Hij zou zijn uitgevoerd door Sandworm, een groep gelinkt aan de Russische geheime dienst.

De aanvallers zouden geprobeerd hebben om verschillende elektrische substations van een ongenoemde provider uit te schakelen. Ze gebruikten daarvoor een nieuwe versie van de Industroyer malware. Die laatste was op kerstdag 2016 verantwoordelijk voor een black-out grote delen van Oekraïne.

Gebaseerd op Industroyer malware

Onderzoekers van beveiligingsfirma ESET hebben de malware inmiddels bekeken. In een persbericht zeggen ze vrij zeker te zijn dat de malware, specifiek bedoeld voor industriële controllers, gebouwd is met de broncode van de 'originele' Industroyer die in 2016 werd uitgerold.

ESET heeft de nieuwe variant dan maar de naam 'Industroyer2' meegegeven en hij werd blijkbaar uitgerold in een poging om hoogspanningsstations te beschadigen, zo schrijft het bedrijf in zijn analyse. De malware werd ingezet in combinatie met een reeks 'wiper malwares' die voornamelijk dienen om gegevens te vernietigen. Daaronder ook CaddyWiper, de wiper malware die we al eerder in de oorlog zagen opdagen in Oekraïne. Die laatste werd bij deze aanval geplaatst op Windows-systemen, ogenschijnlijk in een poging om sporen te wissen.

Volgens de Oekraïense CERT kregen de aanvallers voor 22 februari toegang tot de systemen en waren ze van plan om de elektriciteit in een regio van het land af te sluiten op 8 april. Hoe de aanvallers op het systeem van de elektriciteitsprovider binnendrongen, is niet bekend. CERT zegt dat het de aanval voorlopig heeft afgewend.

Cyberoorlog

Het gaan om een zoveelste cyberaanval in het land, die klaarblijkelijk wordt gebruikt om de militaire invasie door Rusland te ondersteunen. Beveiligers, waaronder ESET, vonden eerder al meerdere wipers die in het land sinds het begin van de oorlog werden ontplooid tegen infrastructuurdoelwitten, overheidsorganen, banken en zelfs satellietnetwerken. Amerikaanse veiligheidsdiensten legden vorige week naar eigen zeggen ook een botnet neer dat door Sandworm werd gebruikt, terwijl Microsoft zegt dat het domeinen van het net haalde die werden gebruikt door Fancy Bear, ook al een groep gelinkt aan de Russische geheime dienst.

In samenwerking met Data News

Dutch IT events

Event icon

Event

Future of Business Technology - 23 april 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events