Upptäckten av ny skadlig kod visar sårbarheten av kritisk infrastruktur, bara några månader efter det WannaCry ransomware tog ut NHS datorer
Viruset angriper el transformatorstationer och brytare med industriell kommunikationsprotokoll.
Foto: David Mcnew/AFP/Getty Images
Malware
‘Industroyer” virus kunde få ner kraften nätverk, forskare varnar
Upptäckten av ny skadlig kod visar sårbarheten av kritisk infrastruktur, bara några månader efter det WannaCry ransomware tog ut NHS datorer
@alexhern
Tisdag 13 juni 2017 16.35 BST
Senast uppdaterad tisdag 13 juni 2017 17.01 BST
Sex månader efter en hacka attack som fick en blackout i Kiev, Ukraina, säkerhet forskare har varnat för att skadlig kod som användes i attacken skulle vara “lätt” att konvertera till cripple infrastruktur i andra länder.
Upptäckten av skadlig programvara, som kallas “Industroyer” och “Crash ” Override”, belyser sårbarheten av kritisk infrastruktur, bara några månader efter det WannaCry ransomware tog ut NHS datorer i STORBRITANNIEN.
Industroyer, analyseras av forskare från Slovakien ESET: s och USA: s Dragos, är endast det andra kända fallet av ett virus som är byggt och släppt specifikt för att störa industriella styr-och kontrollsystem. Den första var Stuxnet, en mask som saboterade den Iranska nukleära programmet, som tros ha byggts av USA och Israel.
Viruset angriper el transformatorstationer och brytare med hjälp av industriell kommunikation protokoll som är standardiserad i ett antal typer av kritisk infrastruktur – från ström, vatten och gas till transport kontroll.
De kontroll-protokoll datum flera decennier bakåt i tiden, till långt innan säkerhetsrutiner såsom kryptering och autentisering var standardiserad. Deras enda verkliga säkerhetsfunktion innebär att binda dem på nätverk som inte är direkt ansluten till internet, men som behovet av ekonomisk effektivitet har tryckt på, även att avlägsnats.
Denna gemensamma angrepp gör Industroyer så farligt, enligt ESET: “problemet är att dessa protokoll var utformade för decennier sedan, och redan då industriella system var tänkt att vara isolerad från omvärlden, säger Anton Cherepanov, en ledande malware forskare på företaget. “Alltså, kommunikationen mellan dem var inte utformade med tanke på säkerhet. Det innebär att angriparna inte behöver vara ute för protokollet sårbarheter, allt de behövde var att lära skadlig kod “för att tala med “de protokoll”.
“Det här är så läskigt som det låter”, sade Andrew Clarke, av bevakningsföretag En Identitet. “Det innebär att sjukhusen skulle kunna förlora makten mitten av kirurgi. Eller trafikljus klippa ut och orsakar olyckor.’ Foto: Medioimages/Photodisc/Getty Images
Som gör det möjligt att attackera flera typer av kritisk infrastruktur med endast små förändringar. “Angripare kan anpassa skadlig kod till vilken miljö som helst, säger Cherepanov, “vilket gör det extremt farliga”.
Andrew Clarke, av bevakningsföretag En Identitet, sade: “Det är så läskigt som det låter. För det första, det är mycket svårt att upptäcka eftersom den använder kända och tillåtna kod men i olika lägen. Dessutom, vi pratar inte om att stjäla några komprometterande foton från några kändisar moln lagring läge. Detta styr elnätet. Det innebär att sjukhusen skulle kunna förlora makten mitten av kirurgi. Eller trafikljus klippa ut och orsakar olyckor.”
De särskilda attack mot Kiev var en relativt lågmäld affär, särskilt i förhållande till det omfattande strömavbrott som hade orsakats av annan it-attack ett år tidigare. Men de tidigare attacker, medan mer skada, som krävs för mänsklig kontroll att utnyttja säkerhetsluckor i faktiska skadan, i kontrast, Industroyer kan orsaka strömavbrott automatiskt. Det har lett till att vissa undrar om Kiev attack var mer av ett test för att se om det skadliga programmet skulle fungera i praktiken. Men oavsett, Cherepanov säger, attack “ska fungera som ett wake-up call för dem som ansvarar för säkerheten i verksamhetskritiska system runt om i världen”.
På toppen av sin attack funktioner, Industroyer också har förmågan att skada den PC som styr sig själv, vilket gör att det kan startas och potentiellt elongating därav blackout.
US Department of Homeland Security sa att det var undersöka skadlig kod, men det hade inte sett några bevis som tyder på att det har smittat OSS av kritisk infrastruktur. Inga särskilda tilldelning för Kiev attack har bekräftats, men den ukrainska regeringen har anklagat Ryssland, som det gjorde för liknande attacker i och med 2015. Tjänstemän i Moskva har upprepade gånger förnekat ansvar.
Som med WannaCry, det är möjligt att fastställa den risk som Industroyer innan det leder till en katastrof, men att göra så kommer att bli dyrt och tidskrävande, enligt Paul Elon, en chef på it-företaget Tripwire. “På grund av det ekonomiska trycket, har det blivit nödvändigt för många organisationer att centralisera vissa av förvaltning och kontroll funktioner som tidigare varit lokal till fabriker, raffinaderier och distribution.
“Centraliseringen har inneburit att utöka räckvidden för företagets nätverk i industriell miljö, och på så sätt exponera de industriella miljöer för att nivåer av it-risker, och för vilka de var varken säkrade heller utformade.”