EKANS lijkt het werk van cybercriminelen te zijn in plaats van hackers van nationale staten - een zorgwekkende ontwikkeling, als dat zo is.
Slechts een paar keer in de geschiedenis van het hacken is er een stukje kwaadaardige code ontdekt die zich rechtstreeks probeert te bemoeien met 'industriële besturingssystemen'. (computers die de kloof tussen digitale en fysieke systemen overbruggen)
Die zeldzame exemplaren van malware hebben nucleaire verrijkingscentrifuges in Iran vernietigd en een black-out in Oekraïne veroorzaakt.
Nu is er een (nieuwe) malware opgedoken dat specifieke kennis van besturingssystemen gebruikt om ze met een veel doeltreffender en meer vertrouwde tactiek te targeten: 'dood de softwareprocessen van het doel, codeer de onderliggende gegevens en houd het gegijzeld'.
In de afgelopen maand hebben onderzoekers van beveiligingsbedrijven, waaronder 'Sentinel One' en 'Dragos', zich verbaasd over een stuk code genaamd 'Snake of EKANS', waarvan ze nu denken dat het specifiek is ontworpen voor industriële besturingssystemen, de software en hardware die vooral wordt gebruikt bij olieraffinaderijen tot stroomnetten naar productiefaciliteiten toe.
Net als andere ransomware versleutelt 'EKANS' gegevens en geeft het een bericht weer aan slachtoffers die betaling eisen om het te ontsleutelen.
64 verschillende softwareprocessen
Maar EKANS gebruikt ook een andere truc om de slachtoffers te dwingen tot betaling.
EKANS is ontworpen om 64 verschillende softwareprocessen op computers van slachtoffers te beëindigen, waaronder vele die specifiek zijn voor industriële controlesystemen. Daardoor kan het vervolgens de gegevens coderen waarmee die besturingssysteemprogramma's communiceren.
Als je het vergelijkt met andere malware die speciaal is ontworpen voor industriële sabotage, kan EKANS toch de software breken die wordt gebruikt om de infrastructuur te bewaken, zoals de pijpleidingen van een oliebedrijf of de robots van een fabriek. Dit kan potentieel gevaarlijke gevolgen hebben, zoals het voorkomen dat personeel op afstand de werking van de apparatuur controleert of bestuurt.
EKANS is eigenlijk de tweede ransomware die industriële besturingssystemen raakt.
Volgens 'Dragos' omvatte een andere ransomware-soort bekend als 'Megacortex', die voor het eerst verscheen in het voorjaar, allemaal dezelfde functies voor het stoppen van processen in het industriële besturingssysteem, en kan in feite een voorloper zijn geweest van EKANS ontwikkeld door dezelfde hackers.
Maar omdat 'Megacortex' ook honderden andere processen heeft beëindigd, zijn de functies op het industriële besturingssysteem grotendeels over het hoofd gezien.
Het is nog niet duidelijk of de verantwoordelijkheid voor de 'industrieel gerichte ransomware' ligt bij de door overheid gesponsorde hackers - of daadwerkelijke cybercriminelen die winst willen maken.
Maar 'Vitali Kremez', een onderzoeker bij 'Sentinel One' die eerder deze maand voor het eerst de ontdekking van 'EKANS' publiceerde samen met een groep onderzoekers bekend als 'Malware Hunter Team', beweert dat industriële besturingssystemen natuurlijke doelen zijn voor ransomware-aanvallers. Net als ziekenhuizen en overheden hebben ze onevenredig veel te verliezen als ze offline gaan
Stimulans om de aanvallers te betalen
"Deze industriële besturingssystemen zijn een van de meest waardevolle doelen", zegt Kremez. "Er is veel urgentie en de beschikbaarheid van gegevens is de kern van de missie. Dus er is veel stimulans om de aanvallers te betalen."
Industriële bedrijven zijn in het verleden zeker getroffen met de allernieuwste Windows-gerichte ransomware, zoals de rampzalige cyberaanval op het Noorse aluminiumbedrijf 'Hydro Norsk' vorig jaar. Maar 'EKANS' en 'Megacortex' gaan een stap verder, in de technische inhoud van industriële besturingssystemen.
Onder de tientallen processen die het beëindigt, zijn o.a. de 'Proficy-software' van 'GE' - "gegevens historie", programma dat registers van operationele informatie in industriële instellingen bijhoudt, evenals het mechanisme dat controleert op een betaalde licentie van een klant voor 'GE's Fanuc-automatiseringssoftware', de monitoring- en beheersoftware 'Thingworx' en een besturingsinterfaceprogramma dat wordt verkocht door 'Honeywell'. "Door deze functionaliteit te verwijderen, hoeft u de installatie niet noodzakelijkerwijs tot stilstand te brengen, maar vermindert u de zichtbaarheid en het inzicht van het slachtoffer voor zijn omgeving,", zegt Joe Slowik, een onderzoeker die de EKANS- en Megacortex-malware voor 'ICS-beveiligingsbedrijf Dragos' analyseerde.
Maar Slowik merkt ook op dat het niet eenvoudig is om te voorspellen hoe 'GE's Fanuc-software' zorgt voor een verstoring van de licentiecontroles, die afhankelijk zijn van de branche en de specifieke klantinstellingen.
Als de automatiseringssoftware zodanig is geconfigureerd dat deze niet zonder licentie kan functioneren, kan dit tot ernstigere gevolgen leiden. "Als het stoppen van de licentieserver ertoe leidt dat operators bepaalde machines niet meer kunnen bedienen, kan dit een verlies van controle veroorzaken dat gevaarlijk kan worden, "zegt Slowik.
Dit betekent dat er andere slachtoffers zijn
'Sentinel One' zegt dat de lijst met EKANS-slachtoffers waarschijnlijk 'Bapco', het nationale oliebedrijf van Bahrein, bevat.
Het beveiligingsbedrijf ontving een kopie van de EKANS-malware van een klant in het Midden-Oosten, die het had verkregen van het geïnfecteerde netwerk van een andere organisatie in 'Bahrein', zegt Kremez van Sentinel One.
In ten minste één versie van het losgeldbericht dat door de malware wordt weergegeven, vraagt het de slachtoffers om de cybercriminelen een e-mail te sturen op het adres 'bapcocrypt@ctemplar.com'. (Bapco heeft niet gereageerd op het verzoek van WIRED om commentaar te geven.)
Maar Slowos van Dragos wijst erop dat Fanuc-automatiseringssoftware waarop EKANS zich richt, doorgaans wordt gebruikt om apparatuur in productiefaciliteiten te beheren, niet oliebedrijven. "Dit betekent dat er andere slachtoffers zijn", zegt Slowik. Mede gebaseerd op de waarschijnlijke targeting van Bapco beweerde het Israëlische beveiligingsbedrijf 'Otorio' vorige week dat EKANS in feite het werk was van Iraanse door de staat gesponsorde hackers. Bapco werd tenslotte eind december getroffen met een stuk Iraanse wis-malware bekend als 'Dustman', net dagen voordat de Amerikaanse moord op de Iraanse generaal Qassem Soleimani de spanningen met Iran tot het breekpunt verhoogde.
Maar het rapport van maandag van 'Drago' is in tegenspraak met die analyse en wijst erop dat er geen bewijs is dat de 'Dustman'- en 'EKANS'-aanvallen met elkaar verbindt. Slowik wijst op de gedeelde eigenschappen van EKANS met Megacortex als bewijs dat haar motivatie eerder crimineel is dan politiek. Megacortex verspreidde zich veel breder dan EKANS en wordt algemeen beschouwd als criminele ransomware. Omdat de twee malwarevoorbeelden een gedeelde maker lijken te hebben, suggereert dit dat ze dezelfde bedoeling hebben.
Niet-statelijke cybercriminelen
Als EKANS niet het werk is van door de overheid gesponsorde hackers - Iraans of anderszins - is dit een zorgelijke ontwikkeling. Samen met Megacortex zou het de allereerste industriële malware voor besturingssystemen zijn die wordt geïmplementeerd door niet-statelijke hackers.
Immers, ICS-malware is in het verleden beperkt gebleven tot zeer geavanceerde inlichtingendiensten, zoals de 'NSA' en 'Israëlische inlichtingenhackers' die 'Stuxnet-malware' hebben gemaakt om het nucleaire verrijkingsprogramma van Iran vanaf 2007 te saboteren, of de Russische Sandworm-hackers die een geautomatiseerde tool genaamd 'Industroyer of Crash' gebruikten om elektriciteit naar Kiev in 2016 uit te schakelen.
'EKANS' zou kunnen aangeven dat industriële hacktactieken zich verspreiden naar gewone cybercriminelen. "Het impliceert een toenemende bereidheid en het vermogen van niet-statelijke actoren om kritieke infrastructuurentiteiten aanzienlijk te beïnvloeden of te schaden", zegt Slowik. Hoe verontrustend het idee van Iraanse hackers die cyberwar op de fysieke infrastructuur van zijn buren ook inzetten, het vooruitzicht van criminele hackers die zich bezighouden met het breken van die systemen voor winst, kunnen nog erger zijn.
Bron: wired