Opdagelsen af nye malware viser sårbarhed og kritisk infrastruktur, blot få måneder efter WannaCry ransomware fandt ud af NHS computere
Virus angreb elektricitet transformerstationer og afbrydere ved hjælp af industrielle kommunikationsprotokoller.
Foto: David Mcnew/AFP/Getty Images
Malware
‘Industroyer’ virus kunne bringe ned magt netværk, forskere advarer om,
Opdagelsen af nye malware viser sårbarhed og kritisk infrastruktur, blot få måneder efter WannaCry ransomware fandt ud af NHS computere
@alexhern
Tirsdag 13 juni 2017 16.35 BST
Sidst opdateret tirsdag den 13 juni 2017 17.01 BST
Seks måneder efter et hackerangreb, der har forårsaget en strømafbrydelse i Kiev, Ukraine, sikkerhed forskere har advaret om, at den malware, der blev anvendt i angrebet ville være “let” at konvertere til at ødelægge infrastruktur i andre lande.
Opdagelsen af den malware, døbt “Industroyer” og “Crash Override”, understreger sårbarheden af kritisk infrastruktur, blot få måneder efter WannaCry ransomware fandt ud af NHS computere over hele STORBRITANNIEN.
Industroyer, analyseret af forskere fra Slovakiet ESET ‘s og USA’ s Dragos, er kun den anden kendte tilfælde af en virus, der er bygget og udgivet specielt til at forstyrre industrielle kontrolsystemer. Den første blev Stuxnet, en orm, der saboterede Iranske nukleare program, der menes at have været bygget af USA og Israel.
Virus angreb elektricitet transformerstationer og afbrydere ved hjælp af industriel kommunikation protokoller, som er standardiseret på tværs af en række typer af kritisk infrastruktur – fra el, vand og gas til transport kontrol.
De kontrollere protokoller, der går årtier tilbage, længe før security practices såsom kryptering og godkendelse, der blev standardiseret. Deres eneste reelle sikkerhed funktionen omfatter kompleksdanner dem på netværk, der ikke er direkte forbundet til internettet, men efterhånden som behovet for økonomisk effektivitet har trykket på, endnu der har været bordkastede.
Denne fælles angreb gør Industroyer så farligt i henhold til ESET: “problemet er, at disse protokoller blev designet årtier siden, og dengang industrielle systemer, der var beregnet til at være isoleret fra omverdenen,” siger Anton Cherepanov, en senior malware forsker på virksomheden. “Således deres kommunikationsprotokoller var ikke designet med sikkerhed i tankerne. Det betyder, at angriberne ikke skal være på udkig efter protokollen sårbarheder; alt, hvad de behøvede var at undervise de malware “taler” de protokoller.”
“Det er så skræmmende, som det lyder,” sagde Andrew Clarke, af vagtselskab En Identitet. “Det betyder, at sygehusene kan miste magt midten af kirurgi. Eller trafiklys skåret ud forårsage ulykker.’ Foto: Medioimages/Photodisc/Getty Images
Der gør det muligt at angribe flere typer af kritisk infrastruktur, med kun små ændringer. “Angribere kan tilpasse malware til ethvert miljø,” siger Cherepanov”, som gør det ekstremt farlige”.
Andrew Clarke, af vagtselskab En Identitet, sagde: “Det er så skræmmende, som det lyder. Første, det er meget svært at opdage, fordi det bruger kendt og tilladte kode endnu i forbryderiske tilstande. Hertil kommer, at vi taler ikke om at stjæle nogle belastende fotos fra nogle berømtheder cloud storage placering. Dette er styring af elnettet. Det betyder, at sygehusene kan miste magt midten af kirurgi. Eller trafiklys skåret ud forårsage ulykker.”
De specifikke angreb på Kiev var en relativt lav-key affære, især i forhold til de omfattende strømsvigt, der havde været forårsaget af en anden cyber-angreb et år tidligere. Men de tidligere angreb, mens mere skade, der kræves for menneskelig kontrol for at udnytte brud i faktiske skade; derimod Industroyer kan forårsage strømsvigt automatisk. Det har fået nogle til at undre sig, hvis den Kiev angreb var mere en test for at se, om malware vil fungere i praksis. Men uanset, Cherepanov siger, angreb “bør tjene som et wake-up call til dem, der er ansvarlige for sikring af kritiske systemer rundt omkring i verden”.
På toppen af sit angreb funktioner, Industroyer også har evnen til at beskadige kontrol PC selv, der gør det unbootable og potentielt forlængede deraf følgende blackout.
Det AMERIKANSKE Department of Homeland Security sagde, at det var ved at undersøge malware, selvom det havde set intet, der tyder på, at det har smittet OS kritisk infrastruktur. Ingen specifikke attribution for Kiev-angreb er blevet bekræftet, men den ukrainske regering har skylden Rusland, som det gjorde for lignende angreb i 2015. Embedsmænd i Moskva har gentagne gange nægtet ansvar.
Som med WannaCry, det er muligt at lave den risiko, som Industroyer, før det fører til katastrofe – men at gøre det vil være dyrt og tidskrævende, ifølge Paul Elon, som er direktør i cybersecurity firma Snubletråd. “På grund af det økonomiske pres, er det blevet nødvendigt for mange organisationer, at samle nogle af de kontrol-funktioner, der ville have tidligere været lokale til industrielle anlæg, raffinaderier, og distributionsfaciliteter.
“Denne centralisering har betydet, at udvide rækkevidden af virksomhedens netværk i industrielle miljøer, og dermed udsætte dem industrielle miljøer for at niveauer af cyber risiko, som de var hverken sikrede eller designet.”