Onderzoekers vinden overheidsmalware die energienetwerken aanvalt op het darkweb

"Dit was cyberspionage op zijn best."​
13.7.16

Een zeer geavanceerd malware, ontworpen om te energienetwerken te verkennen voor een eventuele cyberaanval, is gevonden op een hackerforum op het darkweb. De malware is waarschijnlijk ontworpen door een overheidsdienst.

Beveiligingsonderzoekers vinden normaal gesproken delen van kwaadaardige software, zoals virussen of spyware, als het systeem van een slachtoffer geïnfecteerd raakt. Soms vinden ze die onderdelen echter elders. Dit was het geval bij Furti, een onlangs ontdekte malware die gevonden werd door onderzoekers van beveiligingsbedrijf SentinelOne.

Advertentie

De onderzoekers van SentinelOne geloven dat de malware gemaakt is door hackers in dienst van een overheid, waarschijnlijk ergens in Oost-Europa. Ze schrijven dit in een rapport dat gisteren gepubliceerd werd.

Hackerforums zijn uiteraard een thuishaven voor een hoop kwaadaardige data en software. Maar het zijn meestal geen plekken waar geavanceerde, door overheden geproduceerde malware wordt uitgewisseld.

Udi Shamir, chief security officer bij SentinelOne, zei dat het normaal was om hergebruikte code en malware op die forums te vinden omdat "niemand het wiel telkens opnieuw probeert uit te vinden." Maar in dit geval "was het heel verrassend om zo'n geavanceerd stuk software" te zijn verschijnen op een hackersforum, vertelt hij Motherboard aan de telefoon.

"Dit was cyberspionage op zijn best."

Shamir vertelt dat de malware, die Furtim genoemd is, "duidelijk niet" gemaakt is door cybercriminelen om geld te verdienen, maar door een overheid om te spioneren.

Furtim is een "dropper tool," een platform die machines infecteert en dan als eerste stap dient om verdere aanvallen uit te voeren. De malware is in dit geval duidelijk ontworpen om Europese energiemaatschappijen aan te vallen door middel van Windows. Furtim is in mei gepubliceerd en is nog altijd actief, volgens SentinelOne.

Een ander interessant aspect is dat Furtim actief probeert om tientallen soorten antivirussoftware en zelfs sandboxes en virtual machines te omzeilen om zo lang mogelijk verborgen te blijven. Het doel is om "geïnstalleerde antivirussoftware te verwijderen van een geïnfecteerde computer en zichzelf dan te installeren," aldus het rapport.

Beveiligingsexperts geloven dat kritieke infrastructuur, zoals het energienet, zeer kwetsbaar is voor cyberaanvallen. Ze denken dat toekomstige conflicten zouden kunnen beginnen met het uitschakelen van de stroom door middel van malware. Dat klinkt misschien vergezocht, maar eind vorig jaar veroorzaakten vermoedelijk Russische hackersstroomuitval in delen van Oekraïne met malware.

Het is onduidelijk wie er achter deze cyberspionage zit, maar Shamir zei dat het waarschijnlijk een Oost-Europese overheid is met een hoop geld en kennis. De ontwikkelaars kenden Windows "door en door," volgens hem.

"Dit is niet het werk van kids," zei hij. "Dit was cyberspionage op zijn best."