Beveiligingsbedrijven ESET en Dragos hebben malware ontdekt die gebruikt zou kunnen worden om elektriciteitsnetwerken plat te leggen. Het virus, genaamd Industroyer of Crash Override, is gemaakt om allerlei industriële systemen plat te leggen, maar de versie die de onderzoekers ontdekten was specifiek gericht op het elektriciteitsnet in Oekraïne plat te leggen. In december legden hackers het elektriciteitsnetwerk in de hoofdstad Kiev voor een deel plat; mogelijk is Industroyer daarvoor gebruikt.
Volgens ESET is het de gevaarlijkste malware gericht op industriële systemen sinds Stuxnet. Dat virus werd in 2010 ontdekt en was gemaakt om Iraanse kerncentrales de saboteren. De Amerikanen zouden achter Stuxnet zitten. Wie er achter Industroyer zitten, is op dit moment nog onduidelijk, al laat ESET aan de NOS weten dat er waarschijnlijk een land achter zit. Eerder wezen onderzoekers al naar Rusland als verantwoordelijke voor de stroomstoring in december, wat gezien het slachtoffer (Oekraïne) niet onlogisch is.
Risico
Ondanks het feit dat dat de gevonden versie van Industroyer zich specifiek richt om één organisatie in Oekraïne, vormt het virus een risico. Volgens ESET kan de malware waarschijnlijk met een paar minimale aanpassingen ook in Nederland worden gebruikt. Dat komt doordat de apparatuur voor het beheer van het elektriciteitsnetwerk in Oekraïne ook in heel veel andere landen wordt gebruikt.
ESET legt uit:
Industroyer is een bijzonder gevaarlijke bedreiging, aangezien het in staat is om stroomstationschakelaars en stroomonderbrekers direct te bedienen. Hiervoor wordt gebruik gemaakt van industriële communicatieprotocollen die wereldwijd gebruikt worden in stroomvoorzieningsinfrastructuur, transportcontrolesystemen en andere kritieke infrastructuursystemen (denk aan de water- en gasvoorziening red.). Deze schakelaars zijn digitale equivalenten van analoge schakelaars; technisch gezien kunnen ze worden ontworpen om verschillende functies uit te voeren.
Dit betekent dat in theorie ook kan worden gezorgd dat apparatuur binnen het netwerk fysieke schade oploopt. Hierdoor is het onmogelijk om de apparatuur weer aan te zetten en zal deze moeten worden gerepareerd of vervangen. Logischerwijs maakt dit de potentiële impact van Industroyer nog vele malen groter.
Dragos
Beveiligingsonderzoekers van Dragos, die de malware ook onderzochten, denkt echter dat het risico wel mee valt. Onderzoekers zouden best veel aanpassingen moeten doen om het virus te gebruiken, zegt het bedrijf tegen Wired. Daarnaast gebruikt het geen tot nu toe onbekende lekken (zero days) om zichzelf te verspreiden.