Ransomware bij Boeing: wereldwijd alarm maar 'beperkte infectie'

De uitgelekte memo was van hoofdingenieur Mike Vander Wel, die in Nederland is opgegroeid en opgeleid. De techneut bij Boeings divisie voor de productie van commerciële vliegtuigen sloeg intern alarm over de ransomware-infectie. "Het verspreidt zich snel vanuit Noord-Charleston", aldus de waarschuwing aan collega's wereldwijd. Daarbij vermeldde de hoofdingenieur ook dat hij zojuist had gehoord dat de geautomatiseerde assemblagetools voor de 777-vliegtuigen geraakt zouden zijn.

Sussende mededeling

De persverklaring die Boeing gisteravond Nederlandse tijd heeft afgegeven, spreekt dit tegen. De 777-productielijn zou niet zijn geraakt en de algehele impact was klein, aldus de officiële mededeling. "De kwetsbaarheid was beperkt tot een paar machines. We hebben softwarepatches uitgerold. Er was geen onderbreking van het 777-vliegtuigprogramma of enige van onze andere programma's", verklaart woordvoerster Linda Mills tegenover onder meer persbureau Reuters.

Het ontbreekt nog aan details over hoeveel systemen zijn geïnfecteerd: 'een paar machines' kan binnen het grote Boeing nog altijd een flink aantal zijn. Ook is niet bekend hoe de ransomware is binnengekomen en waarom de benodigde patches niet eerder zijn geïnstalleerd. Mogelijk gaat het om oudere computerapparatuur die onderdeel is van kritieke fabricagesystemen, maar de nu snel uitgevoerde patching bewijst dat het updaten geen onmogelijkheid is.

0-days, NSA-exploits en patchbeleid

Het zou gaan om de WannaCry-ransomware die in mei vorig jaar wereldwijd hard heeft toegeslagen. Naar schatting zijn toen vele honderdduizenden computers bij verschillende bedrijven en organisaties in meer dan honderdvijftig landen getroffen door deze venijnige gijzelingsmalware.

De enorme verspreiding was onder meer te danken aan het gebruik van voorheen onbekende Windows-kwetsbaarheden en code om daar misbruik van te maken, zoals de zogeheten EternalBlue-exploit. Deze 0-days en 'bijbehorende' malware zijn afkomstig van de Amerikaanse inlichtingendienst NSA, die zelf gehackt bleek te zijn. Vóór de grote internationale uitbraak had Microsoft al wel patches uitgebracht voor de gaten waarlangs WannaCry kon binnenkomen.

Angst voor verspreiding

Vander Wel uitte in zijn oproep voor 'alle hens aan dek' de vrees dat de ransomware mogelijk ook apparatuur zou kunnen raken die wordt gebruikt voor functionele tests van vliegtuigen die klaar voor ingebruikname zijn. Indien dat het geval is, zou de malware in theorie mee kunnen gaan met de toestellen. "We zijn nu in een call met zo'n beetje elke vice-president in Boeing", aldus de memo. Dit bericht is intern verspreid en vervolgens uitgelekt vóór de latere persverklaring die volgde op de final assessment van de ransomware-infectie.

De initiële boodschap van de hoofdingenieur was dat alle Boeing-medewerkers en topmanagers zich moeten storten op een 'batterij-achtige reactie'.  Daarmee verwees hij naar het kritieke incident van enkele jaren terug toen batterijen aan boord van de nieuwe 787 Dreamliner-toestellen ontvlambaar bleken te zijn. Dit heeft toen de hele Dreamliner-vloot wereldwijd aan de grond gehouden, terwijl ingenieurs naarstig een oplossing ontwikkelden. Boeing heeft na drie maanden een fix weten te brengen.