2014-10-29 08:18

Viktig information om Trojaner som angriper elbolag. Denna nyhet rör den tidigare publicerade nyheten om riktade attacker i Norge.

Erik Hjelmvik, säkerhetsforskare vid Netresec AB, en talare som talade om nätverksforensiska undersökningar på den internationella säkerhetskonferensen 4SICS förra veckan, hade en utvikning med fördjupad undersökning av den skadliga koden Havex. Eriks fördjupning bestod i att redovisa resultatet från ett antal praktiska tester han utfört med nedladdad programvara. Det har förekommit rykten om att de som gjort den skadliga koden Havex inte bara angripit elbolag, utan även programvaruleverantörer, vars programvara som elbolag laddar ner från Internet. Detta leder till att nedladdningsprogramvaran manipulerats så att den innehåller skadlig kod. Detta innebär att de elbolag som laddar ner denna programvara redan från början blir smittade när de installerar dessa program.

Det har mest förekommit rykten om vilka företag blivit drabbade och som sprider skadlig kod. Eriks arbete har däremot varit att själv ladda ner dessa program och testa dessa program i en så kallad "sandlåda", en särskild exekveringsmiljö i vilken man kan ha särskild kontroll över det program som undersöks. Eriks jobb med dessa praktiska prov har varit att lägga några pusselbitar på plats och därmed för första gången kunnat påvisa hela pusslet.

De program, som vanligtvis används i eller kring SCADA-system, och som Erik konstaterat vara manipulerade och innehåller Havex är:
* Trojanized MESA Imaging driver
* eWON / Talk2M
* MB Connect Line

Det kan därför vara intressant för läsare av energisäkerhetsportalen att undersöka huruvida man använder dessa programvaror internt.

För mer information, och signaturer på berörda program, se Eriks blogginlägg på engelska här:

http://www.netresec.com/?page=Blog&month=2014-10&post=Full-Disclosure-of-Havex-Trojans

Arkiv