Malware op usb-sleutels besmet energiecentrales VS

Energiecentrales in de VS blijken net zo kwetsbaar voor cyberaanvallen als Irans uraniumfabriek in Natanz. Amerikaanse centrales waren besmet en zelfs tijdelijk offline door malware op usb-sleutels.


Twee energiebedrijven in de Verenigde Staten hebben gemeld dat hun computers in de afgelopen drie maanden zijn geïnfecteerd. De ontdekte malware is waarschijnlijk binnengekomen via besmette usb-sleuteles, openbaart het Amerikaanse ministerie voor Binnenlandse Veiligheid (Homeland Security). De kwaadaardige code was niet op kantoor-pc's actief, maar is aangetroffen in de beheeromgeving voor een energiecentrale.

Gewone én geavanceerde malware

ICS-CERT, de it-beveiligingsdienst van het ministerie voor industriële systemen, meldt dat in één geval er zowel algemene als geavanceerde malware is aangetroffen. Die cyberaanval is pas ontdekt toen een werknemer met zijn usb-sleutel naar de it-afdeling van het energiebedrijf ging omdat het opslagapparaat niet goed functioneerde. De bewuste werknemer gebruikte die usb-stick regelmatig om de configuratie van beheersystemen te back-uppen.

Toen een lid van de it-afdeling de usb-drive aansloot "op een computer met up-to-date antivirussoftware, produceerde de antivirussoftware drie positieve meldingen", schrijft ICS-CERT in het rapport (PDF). De eerste analyse veroorzaakte flinke bezorgdheid, aldus het it-beveiligingsorgaan van de overheid, omdat één van de drie ontdekte infecties "gelinked was aan bekende geavanceerde malware".

Cruciale werkstations besmet

Uit onderzoek ter plaatse door ICS-CERT blijkt dat meerdere machines, "een handvol", in contact zijn geweest met de besmette usb-drive. "Deze machines zijn onmiddelijk onderzocht en er zijn drive images gemaakt voor diepgaande analyse." Sporen van de geavanceerde malware zijn ontdekt op twee werkstations van ingenieurs van het energiebedrijf. Allebei die computers zijn volgens ICS-CERT cruciaal voor de werking van de beheeromgeving van de energiecentrale.

"Gedetailleerde analyse is uitgevoerd aangezien deze werkstations geen back-ups hadden, en een ineffectieve of mislukte schoonmaakoperatie zou de werking [van de twee werkstations - red.] aanzienlijk hebben benadeeld", schrijft ICS-CERT in het rapport. De overige elf systemen (operator stations) in de beheeromgeving van de centrale zijn onderzocht en schoon bevonden.

Zowel de namen van de ontdekte malware als die van de besmette energiecentrales zijn niet bekend gemaakt, meldt Webwerelds Amerikaanse zustersite Computerworld.com.

Centrale drie weken plat

In het tweede geval, dat begin oktober is gemeld bij ICS-CERT, is de infecterende usb-sleutel binnengebracht door een externe technicus. Die heeft daarmee updates geïnstalleerd tijdens een periode van geplande uitval voor upgrades van apparatuur.

De gebruikte usb-stick was echter besmet met crimeware, wat de technicus niet wist. Hij heeft een infectie veroorzaakt in een beheersysteem voor turbines. Daarlangs zijn weer tien computers op het beheernetwerk geraakt. De geplande downtime is hierdoor met ongeveer drie weken verlengd. Gedurende die periode lag de energiecentrale plat.