'Hackersgroep bereidt aanval op energiecentrales Oost-Europa voor'
Een groep hackers voert mogelijk verkenningen uit voor aanvallen op energiecentrales, vooral in Oekraïne en Polen. Dat meldt het gerenommeerde Slowaakse beveiligingsbedrijf ESET.
De nieuwe hackersgroep heeft nog geen energiecentrales platgelegd, maar heeft volgens ESET wel onder meer energiebedrijven geïnfecteerd. Daarbij waren de aanvallers specifiek op zoek naar computers die worden gebruikt om industriële, mechanische installaties te besturen.
"Het gaat om een van de gevaarlijkste hackgroepen van dit moment", zegt directeur Dave Maasland van de Nederlandse tak van ESET. "Omdat ze samenwerken met een hackersgroep die daadwerkelijk de samenleving wil ontwrichten."
Daarbij doelt Maasland op een groep met de naam 'Sandworm' of 'Telebots', die eerder een energiecentrale en andere organisaties heeft platgelegd. De nieuwe groep, GreyEnergy genaamd, zou voortkomen uit dezelfde organisatie als Sandworm.
Russische geheime dienst
Wie er achter de groep zit, wil ESET niet zeggen. Maar volgens onder meer de Britse overheid zit de Russische inlichtingendienst GROe achter de Sandworm-groep. "Wij kijken naar techniek. Het is voor ons niet mogelijk om aan te tonen welk land er achter een aanval zit", zegt Maasland. Dat de nieuwe groep samenwerkt en voortkomt uit groepen die eerder aan Rusland zijn gelinkt, wijst mogelijk wel op betrokkenheid van dat land.
Mogelijk ging het om verkenningen, met als doel later een vernietigende aanval uit te voeren. Dat zou niet voor het eerst zijn: in 2015 en 2016 haalden hackers die volgens ESET gerelateerd zijn aan de nieuwe groep, Oekraïense energiecentrales uit de lucht. Daardoor kwamen duizenden mensen zonder stroom te zitten.
Ook die aanvallen worden toegeschreven aan Rusland, dat een langlopend conflict heeft met Oekraïne. In het oosten van dat land woedt een oorlog waarbij rebellen worden gesteund door Rusland. Ook heeft Rusland het schiereiland de Krim geannexeerd.
De hackers zouden hebben geprobeerd in te breken door onder meer phishing-mailtjes te sturen waarin een virus was verstopt. Ook zouden ze op zoek zijn geweest naar computers die vanaf het internet te benaderen waren, om vervolgens verder te zoeken in het netwerk van het bedrijf.
"Het gaat om een geavanceerde aanval, en het doel van de aanvallers is om zo lang mogelijk onopgemerkt te blijven", zegt Maasland. "Ze hebben uitgebreid onderzoek kunnen doen bij meerdere organisaties in de energiesector."
Daarbij werd informatie buitgemaakt over de werking van energiecentrales. "Alles wijst er op dat deze aanvallers informatie probeerden om vervolgaanvallen te kunnen doen. We durven wel te zeggen dat dat ter voorbereiding van verdere aanvallen was."
Sandworm
De Sandworm-hackers worden ook verantwoordelijk gehouden voor de grote NotPetya-virusuitbraak in 2016. Daarbij werden computers van geïnfecteerde bedrijven en organisaties platgelegd. Die virusuitbraak begon in Oekraïne maar richtte ook ver buiten de landsgrenzen schade aan, waaronder bij containerterminal APM in Rotterdam.
Dat de nieuwe hackersgroep samenwerkt met Sandworm, blijkt volgens ESET onder meer uit het feit dat er flinke overeenkomsten zijn tussen de virussen die beide hackersgroepen gebruiken. Ook zou de nieuwe groep een vroegere versie van het NonPetya-virus hebben verspreid.
In september vertelde Maasland van ESET in de NOS op 3-techpodcast over een nieuw Russisch hackwapen: