Volgens onderzoekers van F-Secure hebben de aanvallers achter de Havox-worm een slimme methode bedacht om industriële systemen over te nemen, de zogeheten ICS/SCADA-systemen.

Door eerst in te breken op de websites van leveranciers van SCADA-systemen kon een trojaans paard worden klaargezet en zo worden meegegeven aan de bezoekers van die website, vaak klanten. Die dachten legitieme software te downloaden van de leverancier zelf.

Trojan snift naar juiste SCADA-machines

De trojan ging vanaf het gecompromitteerde systeem op zoek naar zijn doel op het netwerk en activeerde daarna de Havox RAT, die de controle overnam van de SCADA-systemen die vanaf dat workstation worden aangestuurd., "De motivatie achter die overname van SCADA-systemen is voor ons onbekend gebleven", schrijven de onderzoekers van F-Secure.

De besmette systemen staan vrijwel allemaal in Europa, waaronder enkele in Duitsland en Frankrijk. Havox had eerder dit jaar al systemen besmet bij energiebedrijven. De onderzoekers van F-Secure vergelijken Havox met Stuxnet, dat de ICS-systemen van Iraanse kerncentrales aanviel.