Attacker mot våra energibolag pågår

Allt mer blir uppkopplat, och tillgängligheten ökar – men baksidan med bland annat den snabba utvecklingen inom IoT (Internet of Things) är att man ofta i sin kreativa utvecklingsambition missar säkerhetsaspekterna. Detta möjliggör och förenklar för hackers att få åtkomst till samhällskritiska system, bland annat genom attacker mot våra energibolag och energisektorn.

En annan möjliggörare är såklart att många av energibolagens kontrollsystem helt enkelt är gamla, och från en tid med en annan hotbild. Men kanske viktigast är att man i många fall ej lyckats isolera dessa kritiska system mot övrig infrastruktur hos bolaget, och därigenom skapar en risk, återigen i takt med att tillgänglighetskraven och innovationsivern ökar.

Exemplen från en rapport av Symantec 2017 visar på att hackergruppen Dragonfly, som varit verksamma sedan minst 2011, har gett sig åtkomst till flertalet energibolags kontrollsystem, och exempelvis kunnat stänga av energiförsörjningen i länder som Schweiz, Turkiet och USA. Vad får oss att tro att vi i Sverige inte skulle vara drabbade? MSB har med anledning av hackerattacker mot industrisystem gått ut med en uppmaning att “Skyddet av industriella informations och styrsystem (ICS) måste stärkas”.

TRUESEC har under bolagets historia genomfört över 1000 penetrationstester och ett stort antal forensiska incident-utredningar, och har både djup och bred kompetens och erfarenhet från både attackerande sidan och den defensiva. Vi har med bakgrund till MSBs rekommendationer tagit fram en paketering, som genomlyser ert bolags risknivå och hjälper er hantera samtliga dom utpekade punkter och problemområden som MSB ställer krav på.

Det här lyfter såklart en hel mängd med frågeställningar som inte alltid är så lätt att ha svar på, och i många fall blir svaret både svävande och ett “det beror på”. Men många gånger kanske det inte är frågeställningarna som är det viktiga, utan det faktum att det som i IT-relaterade science fiction-filmer målas upp som hotbilder och skräckscenarion nu på allvar händer och är en realitet vi måste både leva med och lära oss att hantera.

Vem eller vad är Dragonfly? FBI har tidigare pekat upp gruppen som en del av den ryska militära underrättelsetjänsten.

Vad har Dragonfly för motiv? I första fasen handlar det om informationsinhämtning och att lära sig hur energiföretag opererar och att få åtkomst till deras operativa system. Men med bakgrund till Ukraina-incidenterna från tidigare år handlar det även om förberedelser till rent sabotage, och att kunna ta över kontrollen när dom så vill.

Hur har Dragonfly’s attack gått till? Det är en kombination av attackmöjligheter och verktyg som har använts av hackergruppen. Bland annat riktade bluffmail (Phishing) för att installera trojaner på användares datorer. Ett av dom första exemplen var en inbjudan till en nyårsfest. Man har även länkat till sajter som uppmanar besökaren att installera Flash-uppdateringar, som då innehåller virus. Dragonfly har även tagit över sajter som flitigt besöks av anställda inom energibranschen, och därigenom sprider skadlig kod till besökaren. (Waterholeattacks)

Hur vet du om du är drabbad? Det finns några IoC (Indicator of Compromise) för Dragonfly som du kan leta efter i dina filsystem, och det kan nog vara en god idé att kolla upp redan nu.

Även om du inte hittar spår av att dina system är drabbade – är du då säker på att din verksamhet är skyddad mot angrepp från grupper som Dragonfly?

Har din verksamhet genomfört säkerhetstester för att minimera er risk att drabbas? Eller vet du inte riktigt var du ska börja?

Bolla gärna dina tankar och funderingar med mig: Mikael.lagstrom@truesec.se

/Mikael


By Mikael Lagström

Mikael Lagström has several years of experience from IT, Telecom and Cybersecurity on management level, successfully building up global security services organizations. Mikael works at TrueSec, which is a highly regarded company that focuses on cyber-security, IT infrastructure, and secure development. TrueSec holds a key position in the Swedish market and have a strong reputation internationally due to worldwide security-related assignments.