Statslige hackere angriber industriens kontrolsystemer
more_vert
close
close

Vores nyhedsbreve

close
Ved at tilmelde dig accepterer du vores Brugerbetingelser, og at Mediehuset Ingeniøren og IDA-gruppen lejlighedsvis kan kontakte dig om arrangementer, analyser, nyheder, tilbud mm via telefon, SMS og email. I nyhedsbreve og mails fra Mediehuset Ingeniøren kan findes markedsføring fra samarbejdspartnere.

Statslige hackere angriber industriens kontrolsystemer

Illustration: Schneider Electric

I det nye forsvarsforlig er der afsat hele 1,4 milliarder kroner til at sikre Danmark mod cyberangreb på blandt andet samfundsvigtig infrastruktur, eksempelvis el og gas-nettet i Danmark.

Men hvordan angriber statslige aktører og cyberkriminelle egentlig kritisk infrastruktur som el, gas- og varmeforsyning?

Der findes i dag meget få kendte angreb, hvor det er lykkedes for hackere at inficere industrielle systemer.

Det sker selvom mange kontrolsystemer er af ældre dato, og slet ikke er designet til at interagere med omverdenen via internettet.

Trænger ind i nødberedskab

I december kom det bare tredje kendte eksempel på et direkte cyberangreb, hvor hackere er gået direkte efter de operationelle kontrolsystemer og ikke it-baseret software.

Det skete et ukendt sted i Mellemøsten, hvor et sikkerhedssystem fra automationsvirksomheden Schneider Electrics sikkerhedssystem Triconex blev inficeret af malware, der endte med at få det industrielle anlæg til helt at lukke ned.

Sikkerhedssystemet Triconex bliver ofte brugt til olie og gas-anlæg, men også atomkraft eller fremstillingsvirksomheder.

sikkerhedskonferencen S4 i januar fortalte Schneider Electrics egne medarbejdere om den malware, der har fået navnet Triton.

En forkert indstilling på sikkerhedssystemets kontrolpanel gjorde det muligt for malwaren at komme ind i Triconex-systemet, og her gjorde en hidtil ukendt sårbarhed i Triconex-firmwaren det muligt for hackerne at fjernstyre systemet.

Da først malwaren var inde I kontrolsystemet har det skudt en Remote Access Trojan(RAT) ind I hukommelsen ved at udnytte en sårbarhed I firmware og udvidet sine rettigheder, siger Paul Forney, global cybersecurity architect hos Schneider Electric's amerikanske product security office til mediet Dark Reading.

Triconex Tricon Safety System er et nødberedskabssystem, der uafhængigt af selve anlægget, monitorerer anlæggets drift, og advarer eller i værste tilfælde lukker ned for industrielle processer, hvis der opstår afvigelser – eksempelvis temperatur eller trykudsving.

Ifølge Schneider Electric var malwarens funktion at manipulere de protokoller, der var sat til at lukke ned for systemet, så sikkerhedsforanstaltningerne ikke ville fungere ved uregelmæssigheder.

Det lykkedes dog aldrig for hackerne, da Triton-malwaren faktisk udløste nødberedskabet og lukkede det industrielle anlæg ned. Først herefter blev malwaren opdaget.

Det vides derfor ikke, hvad den egentlig plan for angrebet var, men malwaren var skrevet og udviklet direkte til at inficere Schneider Electrics proprietære software.

Klar med opdatering til februar

I en sikkerhedsmeddelelse oplyser Schneider Electric, at Triconex-systemet ikke blev håndteret korrekt, da kontrolsystemet var indstillet forkert og dermed stod åben for udefrakommende.

Schneider Electric har varslet en opdatering af sikkerhedssystemerne, der skal være klar i februar.

Schneider Electric i Danmark ønsker ikke at oplyse til Ingeniøren, om der findes Triconex-systemer i drift i Danmark, og henviser til sikkerhedsmeddelelsen.

»Der er tale om et isoleret tilfælde, som ikke var forårsaget af et hul i Triconex-systemet eller dets programkode, men vi tager sagen meget alvorligt og arbejder løbende på at optimere vores systemer og mindske risikoen for denne type angreb. Det vil vi fortsætte med i samarbejde med bl.a. uafhængige cybersikkerheds-organisationer og ICS-CERT (The Industrial Control Systems Cyber Emergency Response Team, red.),« skriver Cathrin Johansen, Digital Marketing Development Manager hos Schneider Electric i en mail til Ingeniøren..

Triton-angrebet er blot det tredje af sin art

Det første angreb af typen, Stuxnet, angreb et atomkraftværk i Iran, mens Industroyer lukkede for strømmen i Ukraine.

Læs også: Russisk malware kan forstyrre elnettet

Selvom angrebet ikke lykkedes, så ser Triton-angrebet ud til at være nøje planlagt.

Både hardware og software i Triconex-systemet er proprietært, og udviklet særligt af Schneider Electric. Derfor har det krævet en vis kendskab til netop Triconex for at kunne placere malwaren.

»Vi har længe talt om, hvor store sårbarheder der er i de ældre industrielle kontrolsystemer, f.eks. SCADA-systemer og de underliggende PLC (Programmable Logic Controller). Sårbarheden opstår i takt med at vi digitaliserer og kører de industrielle processer over internettet. Men mange industrielle komponenter er ikke designet til at fungere udenfor et lokalt netværk og det giver problemer,« siger Jens Christan Monrad, sikkerhedsekspert hos Fireeye, der blandt har undersøgt Triton-malwaren.

Han fortæller, at flere industrielle anlæg skal kunne aflæse, kontrolleres og styres på afstand, og derfor kobler mange nye typer sensorteknologi på eksisterende ældre anlæg for at etablere forbindelse op i skyen.

»Vi oplever desværre at der mange steder ikke er overblik hvilken trafik, der tilløber enheder, og hvem der har adgang til enhederne på rigtigt mange industrielle anlæg. Derfor opdager mange heller ikke at der er malware, der lytter med på dine anlæg. Vi har undersøgt flere kritiske systemer, blandt et atomanlæg, og et anlæg til berigelse af uran, hvor forældet malware igennem en lang periode forsøgte at ”ringe hjem”. De eksempler hvor forældet malware, kan få lov at eksistere i måned eller årevis, viser hvor lidt indsigt og kontrol der er med trafikken og det kan få store konsekvenser og forstyrre ICS (de industrielle kontrolsystemer red.) -miljøer når man pludselig står overfor noget mere målrettet, som eksempelvis TRITON«. fortæller Jens Christian Monrad.

Endnu få angreb i storskala

Selvom mange kontrolsystemer er usikre, så er det stadig meget få kendte angreb.

»Malware der specifikt er designet til at forstyrre produktion via sårbarheder i de industrielle kontrolsystemer og SCADA-systemer er relativt få. Det er ikke noget vi ser i samme volume som traditionel malware der rammer computer og virksomheder hver dag. Det at forstyrre industrielle kontrolsystemer kræver en del viden omkring protokoller og sårbarheder, fordi de fleste industrielle systemer er properitære software-løsninger der er bygget specifik til en maskine, en proces eller en fabrik,« siger Jens Christian Monrad.

Han fortæller at Triton-malwaren ikke anvendes for at være udført at cyberkriminelle, men af statslige aktører. Det samme er tilfældet med det første eksempelvis på industriel malware, Stuxnet, der lukkede et atomkraftværk i Iran og Industroyer, der lukkede for strømmen i Ukraine.

I Danmark har Energinet.dk, der ejer og udvikler el- og gasnettet i Danmark har tidligere fået kritik af Rigsrevisionen for at it-sikkerhedsniveauet ikke er højt nok. Efterfølgende har Energinet.dk bl.a. investeret over 100 millioner kroner i et nyt og mere sikkert SCADA-system til at styre elnettet, og flere er ansat til at højne it-sikkerheden.

Læs også: Energinet.dk: Vi er kommet for sent ud af starthullerne med sikkerheden

Klare standarder

Det vil være oplagt at erstatte de ældre kontrolsystemer med nyere versioner, som er udviklet til at håndtere dataudveksling ud af netværket. Men det er ikke altid nødvendigt lyder det fra Jens Christian Monrad.

»De industrielle systemer har ofte en levetid på op til 30 år, så det er dyrt at udskifte hele systemer, og det behøver man ofte heller ikke. Man løser nødvendigvis ikke udfordringen i disse miljøer, ved at skynde sig ud og købe en ny teknologi. Det handler i stedet om at lave en klar strategi for, hvordan du monitorerer dine systemer, sikre sig en unik autentifikation – så der ikke er admin/admin der bruges til brugernavn og password, så man hele tiden er opdateret på hvem der har adgang til hvad. I dag er der en alt for stor kløft mellem it-medarbejderne og de operationelle driftsmedarbejdere. De to faggrupper skal mødes,« siger Jens Christian Monrad.

Hej Morten,

Det kunne man godt tro, men jeg mener skam forældet malware. Det er lidt en fordanskning af "Legacy Malware". Altså malware der ikke længere virker, selvom man er inficeret med det.

Der er flere grunde til, hvorfor det bliver forældet. Her er et par eksempler.

1) Udviklingen dør i takt med opdateringer af operativsystemet.
2) Udvikleren finder på noget nyt at lave eller laver noget nyt malware og dropper det gamle
3) Den infrastruktur der bruges til at kommunikere med malwaren (command & control), bliver taget ned af myndigheder, virksomheder eller forsvinder fordi man glemmer at forny domænet etc.

Eksempelvis ser vi en del "Mariposa" inficeringer i ICS miljøer, hvilket er bekymrende, fordi det er et eksempel på forældet malware, der burde være fjernet. (https://en.wikipedia.org/wiki/Mariposa_botnet).

Selvom risici forsvinder, fordi malwaren ikke længere er funktionel, så ser jeg desværre at man ikke får det fjernet og i nogle tilfælde har vi over en årrække set disse inficeringer forsøge at få fat i en infrastruktur der ikke længere er tilgængelig. Man har enten misset inficeringen eller også har man droppet at fjerne inficeringen, fordi malwaren ikke længere kan kommunikere med en infrastruktur.

Det sidste er dog et problem især med malware der benytter statiske domæner til kommunikation. Disse udløber og så kan andre registrere dem. Dette ser vi desværre også myndigheder glemme og på den måde kan it-kriminelle genvinde deres infrastruktur.

Min bekymring går også på, at hvis man "misser" malware som ikke er designet til at ramme ICS miljøer og måske i mange tilfælde, slet ikke vil fungere som tænkt i disse miljøer, så er der en stor chance for at man misser det der er langt mere alvorligt og tilmed også et tegn på man ikke har kontrol med sine procedure.

I bund og grund, så handler det om mangel på indsigt i egen infrastruktur og så en manglende sikkerhedkontrol i forhold til hvordan man tilgår systemer, enheder osv.

  • 0
  • 0