Et nytt sofistikert og alvorlig cyberangrep rettet mot kritisk infrastruktur er oppdaget av IT-sikkerhetsfirmaet Fireeye. Det meldte Digi.no forrige måned.
I angrepet inngår en avansert skadevare døpt Triton, som er spesielt rettet mot Triconex, et sikkerhetssystem for industrielle kontroll- og prosessystemer, som er levert av det multinasjonale industrikonsernet Schneider Electric.
Viruset rettet seg spesielt mot kontrollsystem som skal beskytte industrielle systemer innen blant annet kjernekraft, olje- og gassanlegg.
Utløste nødstopp – men ingen skade
Hackere brøt seg inn via fjerntilgang på en Windows-arbeidsstasjon for styring av en SIS-kontroller. Det er brukt teknikker for å unngå oppdagelse, som kjøring av skadevaren i minnet fremfor fra disk. Angriperne må ha forberedt seg godt, mener Fireeye. Under hendelsen oppsto en feilstatus på noen av kontrollene, noe som førte til en automatisk nedstengning av industriprosessen og vekket mistanke.
Den manipulerte applikasjonskoden skal ha feilet i en valideringssjekk. Fireeye antar at angriperne var inne i nettverket for å drive rekognosering. De mener hackerne ikke hadde til hensikt å bli oppdaget før de hadde lyktes med å påføre fysisk skade på industrisystemet.
– Statlig aktør bak
Fireeye gikk torsdag 14. desember ut med funn fra angrepet, som har rammet en kunde verken de eller Schneider ønsker å identifisere. Schneider har på sin side bekreftet hendelsen i et eget sikkerhetsvarsel datert dagen før.
Nyhetsbyrået Reuters melder at et annet sikkerhetsselskap Dragos sier angrepet var rettet mot en virksomhet i Midtøsten, mens en tredje aktør Cyberx mener at offeret er i Saudi-Arabia.
Hvem som står bak angrepet er ukjent, men Fireeye mener det må dreie seg om en statlig aktør. Det grunngir de med målrettingen mot kritisk infrastruktur, vedvarende tilstedeværelse forbundet med såkalte APT-trusselaktører, ingen opplagte økonomisk motiver, samt de tekniske ressursene påkrevd for å skape den målrettede skadevaren.
– Selv om bevisene indikerer at dette var en isolert hendelse, fortsetter vi å granske om det kan være ytterligere angrepsvektorer. Det er viktig å påpeke at i dette tilfellet så gjorde Triconex-systemet det det er ment å gjøre, nemlig å stenge ned anlegget på en trygg måte. Ingen skade ble påført kunden eller miljøet, opplyser Schneider Electric i sitt varsel.
Frykter flere angrep
Triconex er i drift ved over 13.000 installasjoner i dag, kan vi lese på Schneider Electric sine norske hjemmesider.
Sikkerhetseksperter Reuters har snakket med sier at løsningen er utbredt i kraftbransjen, inkludert atomanlegg, samt innen olje- og gass.
Nyhetsbyrået siterer også sjef for trusseletterretning i Dragos, Sergio Calagirone, som frykter at hendelsen vil utløse flere angrep på industrielle prosessystemer.
– Dette er et historisk vendepunkt. Andre vil etter hvert forsøke å kopiere denne typen angrep, sier Caltagirone.
Hendelsen og skadevaren er blant en håndfull kjente tilfeller ment å påføre fysisk skade eller å ødelegge kritisk infrastruktur ved hjelp av digitale angrep. Andre eksempler er Stuxnet, som klarte å sabotere sentrifugene Iran bruker til å anrike uran, og Blackenergy som slo ut strømnett i Ukraina.
Råd til kundene
Digi.no har stilt Schneider Electric Norge noen spørsmål, blant annet om utbredelsen av Triconex her til lands.
De har ikke svart på spørsmål om hva slags installasjoner eller hvor mange som finnes i Norge, men har sendt en uttalelse med råd til kundene:
«Triconex brukerdokumentasjon inneholder detaljerte sikkerhetsretningslinjer og anbefalinger om hvordan du beskytter Triconex-systemer mot angrep. Vi oppfordrer sterkt alle våre kunder til å følge disse anbefalingene angående produktbruk og sikkerhet. Videre anbefaler vi å til enhver tid bruke og følge bransjeanerkjente tiltak for cybersikkerhet for å beskytte sine installasjoner», skriver Schneider Electric Norge og viser til følgende punkter:
- Sikre at cybersikkerhets-funksjonene i Triconex-løsninger alltid er aktivert
- Ikke la frontpanelets nøkkelposisjon være i «Program» -modus når du ikke aktivt konfigurerer kontrolleren;
- Og sørg for at alle TriStation-terminaler, sikkerhetsregulatorer og sikkerhetsnettverket er isolert fra resten av anleggets kommunikasjonskanaler.
Videre anbefaler de kundene å gjennomgå og vurdere anleggets cyberberedskap.