Hackers kan slå av elnätet

Allt mer blir uppkopplat, och tillgängligheten ökar – men baksidan med bland annat den snabba utvecklingen inom IoT (Internet of Things) är att man ofta i sin kreativa utvecklingsambition missar säkerhetsaspekterna. Detta möjliggör och förenklar för hackers att få åtkomst till samhällskritiska system, bland annat inom energisektorn.

En annan möjliggörare är såklart att många av energibolagens kontrollsystem helt enkelt är gamla, och från en tid med en annan hotbild. Men kanske viktigast är att man i många fall ej lyckats isolera dessa kritiska system mot övrig infrastruktur hos bolaget, och därigenom skapar en risk, återigen i takt med att tillgänglighetskraven och innovationsivern ökar.

Exemplen från en rapport av Symantec 2017 visar på att hackergruppen Dragonfly, som varit verksamma sedan minst 2011, nu har åtkomst till flertalet energibolags kontrollsystem, och kan stänga av energiförsörjningen i länder som Schweiz, Turkiet och USA. Vad får oss att tro att vi i Sverige inte skulle vara drabbade? MSB har med anledning av hackerattacker mot industrisystem gått ut med en uppmaning att “Skyddet av industriella informations och styrsystem (ICS) måste stärkas”.

TRUESEC har under bolagets historia genomfört över 1000 penetrationstester och ett stort antal forensiska incident-utredningar, och har både djup och bred kompetens och erfarenhet från både attackerande sidan och den defensiva. Vi har med bakgrund till MSBs rekommendationer tagit fram en paketering, som genomlyser ert bolags risknivå och hjälper er hantera samtliga dom utpekade punkter och problemområden som MSB ställer krav på.

Det här lyfter såklart en hel mängd med frågeställningar som inte alltid är så lätt att ha svar på, och i många fall blir svaret både svävande och ett “det beror på”. Men många gånger kanske det inte är frågeställningarna som är det viktiga, utan det faktum att det som i IT-relaterade science fiction-filmer målas upp som hotbilder och skräckscenarion nu på allvar händer och är en realitet vi måste både leva med och lära oss att hantera.

Vem eller vad är Dragonfly? FBI har tidigare pekat upp gruppen som en del av den ryska militära underrättelsetjänsten.

Vad har Dragonfly för motiv? I första fasen handlar det om informationsinhämtning och att lära sig hur energiföretag opererar och att få åtkomst till deras operativa system. Men med bakgrund till Ukraina-incidenterna från tidigare år handlar det även om förberedelser till rent sabotage, och att kunna ta över kontrollen när dom så vill.

Hur har Dragonfly’s attack gått till? Det är en kombination av attackmöjligheter och verktyg som har använts av hackergruppen. Bland annat riktade bluffmail (Phishing) för att installera trojaner på användares datorer. Ett av dom första exemplen var en inbjudan till en nyårsfest. Man har även länkat till sajter som uppmanar besökaren att installera Flash-uppdateringar, som då innehåller virus. Dragonfly har även tagit över sajter som flitigt besöks av anställda inom energibranschen, och därigenom sprider skadlig kod till besökaren. (Waterholeattacks)

Hur vet du om du är drabbad? Det finns några IoC (Indicator of Compromise) för Dragonfly som du kan leta efter i dina filsystem, och det kan nog vara en god idé att kolla upp redan nu.

Även om du inte hittar spår av att dina system är drabbade – är du då säker på att din verksamhet är skyddad mot angrepp från grupper som Dragonfly? Har din verksamhet genomfört säkerhetstester för att minimera er risk att drabbas? Eller vet du inte riktigt var du ska börja? Hör av dig till oss!

Skriven av: Mikael Lagström, TRUESEC

LEAVE A REPLY

Please enter your comment!
Please enter your name here