Cyberattacker mot kritisk infrastruktur skapar katt och råtta-lek

av Leif Bergström Forum 2019-04, sida 28-29, 02.05.2019

Allt fler storföretag och viktig samhällsinfrastruktur i västvärlden drabbas av professionell cyberkriminalitet. Spåren leder ofta till myndighetssponsrade hackare i Ryssland, Iran och Nordkorea.

Så kallade malware-attacker står samhället dyrt, från storföretag till privatpersoner, men säkerhetsexperter oroar sig inte bara för de ekonomiska kostnaderna. Nya sabotageprogram kan också orsaka industriella olyckor som kan kräva anställdas liv eller släppa ut giftiga gaser i omgivningen.

Listan av offer för attacker har denna vår blivit lång. Norsk Hydro lamslogs av utpressningsprogrammet Lockergoga, som också attackerade de amerikanska kemiföretagen Hexion och Momentive, liksom det franska konsultföretaget Altran. En talesman för der ryska säkerhetsföretaget Kaspersky Labs sa att företaget hade uppgifter om andra offer runt om i världen. Programmet beskrivs av experter som en inte värst sofistikerad, men desto mer destruktiv form av utpressningsprogram, möjligen med statliga aktörer i bakgrunden.

Sabotageprogram har också riktats mot myndigheter, bland annat i delstaten New Yorks huvudstad Albany liksom England och Wales polisfederation. E-postmeddelanden som varnade för influensaepidemin såg ut att komma från amerikanska folkhälsomyndigheten Centers for Disease Control innehöll en bilaga med utpressningsprogrammet GandCrab.

Spåren leder till Ryssland. Men oberoende av hur dyrbara de avbrott i verksamheten dessa attacker är, ser säkerhetsexperter nu ett än värre hot. År 2017 attackerades en petrokemisk industri i Mellanöstern av ett sabotageprogram som inriktade sig på företagets säkerhetssystem, på sensorer avsedda att upptäcka risker i produktionsprocessen och låta ventiler minska trycket tills normala produktionsförhållanden åter uppnåtts, eller helt stänga processen. En sådan attack kunde bli livshotande.

Det var första gången hackare hade introducerat program som var avsett att riskera mänskliga liv. Triton eller Trisis kallas programmet, eftersom det siktar på att lamslå säkerhetssystemet Triconex från franska Schneider Electric. Schneider har sedan uppdaterat sitt program som hade en svaghet som Triton utnyttjade.

Först förmodades Iran ligga bakom, men internetsäkerhetsföretaget Fireeye, utpekade senare Ryssland som ansvarigt.

”Att tillskriva cyberattacker ett ursprung är alltid den mest invecklade delen av analysen. Man kan alltid vänta sig att slutsatserna är ännu ett falskt spår”, säger en högt uppsatt cybersäkerhetsexpert vid ett ledande företag till Forum.

På tröskeln bortom det omoraliska. Attacker mot industrier och kraftanläggningar hade förekommit tidigare. USA:s nationella säkerhetsmyndighet, National Security Agency, låg tillsammans med Israel bakom Stuxnet, en datormask som fick centrifuger använda av Iran för att anrika uran att spinna okontrollerat och förstöra sig själva. Ryska hackare använde 2015 en trojansk häst, Blackenergy i attacker mot ukrainska kraftföretag, som orsakade mörkläggning.

Men fram till Triton hade försöken inte inriktat sig på att ta eller skada liv.

”Att rikta in sig på säkerhetssystem tycktes bara vara omoraliskt, och verkligen svårt att genomföra tekniskt”, säger Joe Slowik vid säkerhetsföretaget Dragos.

Experter ser också en eskalering i de senaste versionerna av Lockergoga, som drabbade Norsk Hydro och andra företag. Dels är detta utpressningsprogram mer aggressivt än föregångarna, det krypterar på några sekunder alla filer och gör datorn helt oanvändbar. Programmet ger offret ett par e-postadresser de ombeds kontakta för att förhandla ett pris som hackarna kan acceptera för att återställa filerna. Men även detta program kan omintetgöra normala säkerhetsprotokoll och därmed förstöra industriell utrustning – och kanske orsaka skador för anställda.

Forum ställer frågan huruvida Triton möjligen har skapats av statliga aktörer med avsikt att sprida kaos, snarare än för utpressningssyfte.

”I mitt tycke har Triton inte planerats på ett sätt som gör det lätt att tjäna pengar. På basen av det kan alla dra sina egna slutsatser”, säger en expert. Leif Bergström text

Läs hela artikeln i papperstidningen.

///

[caption id=“attachment_18605” align=“aligncenter” width=“440”] Rovdjur. Ute på webben lurar bland annat virus, maskar, trojanska hästar, spionprogram, spökprogram samt utpressningsprogram.[/caption]

KOMMENTAR

Fruktad farsot har många namn

Ute i cyberrymdens djup florerar många sorters sabotageprogram, alltså skadlig programvara (på engelska oftast malware, ur malicious software). Bland annat förekommer virus, maskar, trojanska hästar, spionprogram, spökprogram (rootkits) samt utpressningsprogram.

Skadeprogram av äldre modell, som datavirus, skapar oftast omedelbara, synliga störningar. Moderna skadeprogram brukar däremot smygas in på datorn (eller smartmobilen) utan användarens vetskap, dels för att kartlägga användarens beteende och samla in data och därtill för att eventuellt senare angripa andra datorer eller lokala nät.

Ett relaterat begrepp är botnet, alltså program som används av en aktör för att i det fördolda fjärrstyra ett nätverk av infekterade datorer i syfte att stjäla processorkraft för att knäcka lösenord, genomföra överbelastningsattacker, distribuera skräppost och datavirus,, samt lagra illegalt innehåll. Botnet kan också utnyttjas för brytning kryptovalutor såsom Bitcoin.

På senare år har det blivit rätt så allmänt med utpressningsprogram, alltså ransomware, som hindrar användaren att använda datorn eller vissa filer, tills en lösensumma har betalats.

Det är märkligt hur slarvig webbetikett flera av oss vuxna tillämpar. Varje tonåring vet att sexuellt överförbara sjukdomar sprids vid oskyddat sexuellt umgänge – men få vuxna verkar minnas att skadeprogram likaså överförs vid oskyddat eller ogenomtänkt surfande.

Källor: Svenska Datatermgruppen, Computer Swedens och IDG:s IT-ord

Torsten Fagerholm