“Industroyer” og angrepet mot det ukrainske kraftnettet i desember


Skadevaren som angrep det ukrainske kraftnettet i desember er farligere enn først antatt. Analytikere mener skadevaren er en trussell mot industrisystemer verden over.

Angrepet i Ukraina

En uke før jul i 2016 slo hackere til mot en transformatorstasjon like nord for byen Kiev i Ukraina. De klarte å slå ut strømmen i deler av den ukrainske hovedstaden i ca en time. Det høres i utgangspunktet ikke ut som en alvorlig hendelse, og hittil har mange trodd at dette var en kopi av det mye mer omfattende angrepet som skjedde mot det ukrainske strømnettet i 2015. Nå er det mye som tyder på at hendelsen i desember 2016 bare var en test av en ny skadevare som har potensiale til å gjøre skade på industrielle kontrollsystemer verden over.

Industroyer

Skadevaren går under navnet “Crash Override” eller “Industroyer” og har blitt detektert og analysert av sikkerhetsselskapet ESET. Om det faktisk var denne typen skadevare som ble brukt under det siste strømbruddet i Ukraina gjenstår å bli bekreftet, men skadevaren har uansett kapasitet til å gjøre stor skade på elektriske kraftsystemer. Den kan også tilpasses til å angripe andre former for kritisk infrastruktur. Analytikerne sier at “Industroyer” kan automatisere store strømbrudd,  består av moduler som kan tilpasses ulike kontrollsystemer, er enkel å gjenbruke og kan brukes samtidig på flere mål. Disse egenskapene sannsynliggjør at skadevaren er i stand til å iverksette store strømbrudd som varer betraktelig lengre enn en time.

At den nye skadevaren kan tilpasses ulike kontrollsystemer gjør at den har potensiale for å være en trussel andre steder. Det er ingen ting i programvaren som er unikt for Ukraina. Det er sannsynligvis en plattform for fremtidige angrep.

Hendelseshåndtering i Norge

Nasjonal Sikkerhetsmyndighet (NSM)  er den nasjonale varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser i Norge. De fokuserer på sikring av kritisk infrastruktur og ville i en lignende situasjon som den i Ukraina vært ansvarlig for håndteringen sammen med KraftCert.

Det er ingen uttalt risiko at lignende angrep vil skje i Norge i nærmeste fremtid. Det vi vet er at skadevare som “Industroyer” finnes og kan bli brukt i en eventuell konflikt et eller annet sted i verden på et eller annet tidspunkt.

Les mer

For de som gjerne vil vite mer om  “Industroyer”, kan disse artiklene være av interesse:

https://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-since-stuxnet/

https://www.wired.com/story/crash-override-malware

https://motherboard.vice.com/en_us/article/ukraine-power-grid-malware-crashoverride-industroyer