Elektricitet, olja och gas och annan kritisk infrastruktur som är avgörande för vår vardag utsätts i allt högre grad för risker från cyberangripare som vet att framgångsrika kompromisser med industriella kontrollsystem (ICS) och operativ teknologi (OT) kan göra det möjligt för dem att störa eller manipulera viktiga tjänster.
En rapport från cybersäkerhetsföretaget Dragos beskriver tio olika hackningsoperationer som är kända för att ha aktivt riktat in sig på industriella system i Nordamerika och Europa – och det varnas för att denna aktivitet sannolikt kommer att växa under de kommande 12 månaderna.
Listan innehåller flera statsstödda hackningsoperationer, som Electrum – även känd som Sandworm – som är kopplad till den ryska militären, Covellite, som är kopplad till Nordkoreas Lazarus Group, och Vanadinite, som är fodrad till APT 41, ett hacking verksamhet som arbetar på uppdrag av Kina.
I takt med att mer kritisk infrastruktur är ansluten till internet eller tillgänglig för personal med fjärrskrivbordsprotokoll och VPN, blir den alltmer ett mål för nationalstatsstödda hackare och cyberkriminella gäng som är intresserade av att bryta mot och undersöka OT-nätverk för att lägga grunden för framtida kampanjer.
“Mycket av detta ökar aptiten att vara på de platser – vanligtvis från statligt sponsrade operationer – där de vill ha kapacitet där de kan ha en inverkan i framtiden”, säger Magpie Graham, främsta motståndarjägare och teknisk chef på Dragos till ZDNet.
Efter att hackare går in i industriella nätverk är det osannolikt att det kommer att ha någon omedelbar inverkan på de system som kontrollerar operativa processer eftersom det kan ta år för angripare att förstå allt – men det handlar om att lägga grunden för detta för framtiden.
SER: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
Kampanjerna som spåras av Dragos har en mängd olika syften – vissa handlar om att stjäla information, eller så kan det finnas planer på att orsaka störningar – till exempel cyberbrottslingar som vill lansera ransomware-attacker. Den operativa teknikens natur och ett beroende av äldre mjukvara och protokoll innebär att alla bevis på kompromisser kan missas, vilket visar att hackare har gott om tid att flytta runt, förstå och få kontroll över nätverk.
Det är detta som forskare beskriver som “den största cybersäkerhetssvagheten” som industriella nätverk står inför, för utan att ha en fullständig bild av vad som behöver skyddas från cyberattacker är det inte möjligt att helt försvara nätverk från hackare.
Cybersäkerhetssvagheter i industriella nätverk är inte nödvändigtvis nya, men när fler hotgrupper blir intresserade av att infiltrera dem kan det leda till betydande problem.
Tidningen varnar också för att aktivitet relaterade till cyberattacker riktade mot industriell infrastruktur har observerats sedan Rysslands invasion av Ukraina och västerländska cybersäkerhetsbyråer har utfärdat varningar om behovet av att skydda nätverk från attacker.
Förutom att ha en god förståelse för vad som finns på nätverket kan många standardiserade cybersäkerhetsmetoder hjälpa till att säkra OT-nätverk. Dessa inkluderar tillämpning av säkerhetsuppdateringar för att korrigera kända sårbarheter i programvara, och tillämpning av multifaktorautentisering när det är möjligt.
Förhoppningen är att de berörda organisationerna genom att uppmärksamma hackningsgrupperna, kampanjerna och risken för industrisektorn lyssnar på varningarna och tillämpar nödvändiga skydd för att skydda sig mot cyberspionage, störande attacker och andra potentiella cybersäkerhetshot.
“Det kan fungera i ett mer positivt ljus, där vi har sett dessa attacker, kan det fungera bara som en påminnelse för organisationer att skydda sig själva”, säger Graham.
Enligt Dragos är de mest aktiva hotgrupperna som riktar in sig på kritisk infrastruktur:
- Parasit: en grupp som riktar sig till energibolag, flyg och olja och gas i Europa, Mellanöstern och Nordamerika. Thee-gruppen använder verktyg med öppen källkod och kända sårbarheter för initial åtkomst. Parasit misstänks ha koppling till Iran.
- Xenotid: en grupp som riktar sig till olje- och gasbolag i Europa, USA och Australien. Man tror att gruppen är kopplad till Ryssland.
- Magnallium: en grupp som till en början riktade in sig på olje- och gas- och flygplansföretag i Saudiarabien, som har expanderat till Europa och Nordamerika. Det tros vara relaterat till APT 33, en statligt sponsrad iransk hackergrupp.
- Dymalloy: en grupp som riktar sig till elbolag, olja och gas och andra avancerade industriella enheter i Europa, Turkiet och Nordamerika. Dymalloy, som beskrivs som “mycket aggressiv”, letar efter långsiktig uthållighet i nätverk och tros vara kopplad till Ryssland.
- Electrum: denna grupp kan utveckla skadlig programvara som kan modifiera och kontrollera OT-procedurer och Dragos-forskare säger att denna operation var ansvarig för Crash Override – även känd som Industroyer – en skadlig attack mot Ukrainas elnät i december 2016. Electrum är associerat med Sandworm, en offensiv hackningsoperation som är en del av Rysslands militära underrättelsetjänst GRU.
- Allanite: en grupp som riktar sig till företags- och OT-nätverk i den brittiska och amerikanska elsektorn, såväl som tysk industriell infrastruktur och använder tillgång för att utföra spaning på nätverk för att potentiellt iscensätta framtida störande händelser. Man tror att Allanite är kopplad till Ryssland.
- Krysen: Denna grupp har varit aktiv sedan åtminstone 2017 och har riktat in sig på industriorganisationer i Europa och Mellanöstern och bedriver främst underrättelseinsamlingsoperationer för att potentiellt underlätta ytterligare attacker. Chrysense misstänks ha koppling till Iran.
- Kamacite: en grupp som har varit aktiv sedan åtminstone 2014 och tros vara ansvarig för cyberattacker mot ukrainska kraftanläggningar 2015 och 2016. Gruppen är kopplad till Sandworm.
- Covellite: en grupp som har riktat in sig på elbolag i Europa, USA och Östasien med hjälp av skadliga bilagor i nätfiske-e-postmeddelanden. Gruppen tros vara kopplad till Lazarus Group, en statsstödd hackergrupp som arbetar från Nordkorea.
- Vanadinit: En hackergrupp som riktar sig mot extern, sårbar mjukvara i industriella organisationer runt om i världen. Det tros vara kopplat till APT 41, en statligt sponsrad kinesisk hackeroperation.
MER OM CYBERSÄKERHET
