Under 2017 fick cyberhot mot kritisk infrastruktur stora rubriker. Det började med att Reuters i januari rapporterade om ett strömavbrott i Ukraina som i själva verket ”var en cyberattack”.
I förra årets trendrapporter spådde vi att infrastrukturattackerna skulle fortsätta skapa rubriker och störa människors liv under 2017. Tyvärr hade vi rätt och tyvärr ser utvecklingen ut att fortsätta på samma sätt under 2018 av orsaker som jag ska redogöra för i den här uppdateringen. Påpekas bör att kritisk infrastruktur är mer än bara elnätet; det handlar också om bland annat försvars- och vårdsektorn, kritisk tillverkningsindustri och livsmedelsproduktion, vatten samt transport.
Av och på
Låt oss titta på hur utvecklingen har sett ut över tid. I slutet av december 2015 resulterade ett antal cyberattacker mot ukrainska elbolag i att eltillförseln bröts i flera timmar för hundratusentals hushåll i denna del av världen. Den första artikel om denna incident som ESET:s forskare publicerade var Anton Cherepanovs analys av Black Energy (2016), den skadliga kod som användes vid denna cyberattack. Just detta skadeprogram angrep inte ICS-enheterna (Industrial Control System) direkt utan gjorde det möjligt för hackarna att penetrera elbolagens nät och förstöra programvaran som används av ICS-utrustningen. Medias rapportering, med uppseendeväckande rubriker som ”Skadlig kod släckte lamporna”, gjorde inte denna distinktion tydlig.
Attacken i slutet av 2016 (som blev offentligt känd i januari 2017) var av en helt annan sort, vilket ESET-forskarna Anton Cherepanov och Robert Lipovský förklarade på WeLiveSecurity. I sin analys beskrev de en ny typ av skadeprogram som kan direktstyra transformatorstationers omkopplare och brytare och i vissa fall stänga av dem och sätta på dem igen (vilket kan störa tillförseln i stor skala). De döpte den skadliga koden till Industroyer och argumenterade övertygande för att den är det största hotet mot industriella styrsystem sedan Stuxnet. När de presenterade sin skadeprogramsanalys på Black Hat USA 2017 var salen fullsatt och man kunde höra en knappnål falla.
Industroyers konsekvenser för framtida hot mot kritisk infrastruktur är milt uttryckt oroande, vilket framgår tydligt i den här intervjun med Robert Lipovský. Den industriella utrustning som angreps av Industroyer används i stor omfattning (inte bara i Ukraina, utan även i till exempel Storbritannien, EU och USA samt inom flera kritiska sektorer). Dessutom är mycket av den ICS-utrustning som fortfarande är i bruk inte konstruerad för att vara ansluten till internet, vilket gör det svårt att vidta retroaktiva säkerhetsåtgärder.
Naturligtvis arbetar många av de organisationer som tillhandahåller och använder kritisk infrastruktur nu hårt för att skydda den. ESET:s undersökningar tyder också på att eventuella framtida cyberattacker med Industroyer måste skräddarsys för specifika mål. Därmed kan eventuella angrepp endast utföras av personer med välfylld kassa, och stora attacker som syftar till att släcka alla lampor, förlama transportnätet eller stoppa kritisk tillverkning förhindras. Det är dock inte osannolikt att dessa förhållanden kommer att ändras med tiden i takt med att attackkoden förfinas och mer information samlas in. Med andra ord kommer förmågan att utföra cyberattacker mot elnätet att öka under 2018, om de inte blockeras genom förebyggande åtgärder som systemuppgraderingar, tidig upptäckt av nätverksintrång och en drastisk förbättring av skyddet mot nätfiske.
Infrastruktur och leveranskedja
Att enbart uppgradera gamla ICS-don med internetanpassad utrustning leder tyvärr inte automatiskt till bättre säkerhet. Enligt Stephen Ridley, grundare och teknikchef på Senrio (ett företag som fokuserar på säkerhet för uppkopplade enheter) beror det på att industriell utrustning nu överger tillämpningsspecifika integrerade kretsar (ASIC) till förmån för en generisk och billigare SoC-arkitektur (System-on-Chip) för vilken det redan finns kodbibliotek.
Denna nya metod minskar förvisso kostnaderna, men introducerar samtidigt fler svagheter i leveranskedjan, bl.a. sårbara chips som är svåra att skydda och återanvänd kod som gör programvaran mer sårbar. Ett par exempel från 2017 är bland annat felet Devil´s Ivy, som återfanns i över 200 olika övervakningskameror från Axis Communications, och BlueBorne, en svag punkt som påverkade flera miljarder enheter på de mest populära plattformarna: Windows, Linux, iOS och Android. Vi kan räkna med att fler sådana exempel kommer att upptäckas under 2017, samt under 2018 och därefter.
2017 skapade även en annan typ av leveransproblem rubriker, delvis eftersom de påverkade underhållningsbranschen. Även om det knappast handlar om kritisk infrastruktur har denna sektor lärt sig ett antal läxor under 2017 som är av värde för de verkligt kritiska delarna av ekonomin. Utpressningsförsöket mot Netflix via serien Orange is the new black och den icke-relaterade digitala stölden av den senaste delen i filmserien Pirates of the Caribbean illustrerar båda oroande aspekter av säkerheten i leveranskedjan.
Idag verkar många stora företag ta cybersäkerheten på betydligt större allvar och har egna säkerhetsteam som får både den budget och det ledningsstöd de behöver för att göra ett bra jobb. Många mindre företag som tillhandahåller varor och tjänster till de större aktörerna kämpar dock fortfarande. Därmed är de en attraktiv måltavla om de till exempel råkar arbeta med en kommande storfilm i sina ljudbearbetningssystem, som råkar vara anslutna till kontorets nätverk, vars användare inte har fått lära sig att känna igen nätfiskemejl.
Under 2017 stod det klart att säkerhetsbrister hos dessa mindre leverantörer är ett effektivt sätt att komma åt större måltavlor, t.ex. stora filmbolag. Efter att flera högprofilerade fall har uppmärksammats i nyheterna har jag sammanställt några råd kring säkerhet i leveranskedjan som även är relevanta för organisationer som arbetar med kritisk infrastruktur. Trots allt kanske angriparna har svårt att hacka sig direkt in i ett stort elbolags nät, men vad händer om de istället hackar företaget som sköter fastigheterna?
Förr i tiden var vi rädda för ”den onde vaktmästaren”, d.v.s. att en vaktmästare med tvivelaktig moral men avancerade datorkunskaper av misstag skulle få tillgång till nätverket när han pausade från kontorsstädningen under nattskiftet. Även om det hotet inte har försvunnit helt har det fått sällskap av hotet om en cyberosäker städfirma som kopplar upp sig mot kraftverkets system via en leverantörsportal (till exempel), som inte är helt avskild från ICS-nätverket.
Följden? Under 2018 måste alla organisationer som tillhandahåller kritisk infrastruktur fortsätta förbättra sin säkerhet, minska nätfiskeattackernas effektivitet (fortfarande en av de vanligaste angreppsvägarna), isolera och kontrollera nätverksåtkomsten, se över och testa både ny och gammal maskin- och programvara samt göra noggranna kontroller av underleverantörernas digitala säkerhet. De måste också vara på sin vakt mot och reagera på den typ av nätverksintrång och övervakning som kan föregå en fullskalig cyberattack.
Av: Stephen Cobb