Sofistikert malware stanser driften ved strømmen stasjon i enestående angrep som eksperter mener at det var statsstøttet

Målrettede … et kraftverk i Saudi-Arabia.
Foto: Lena Kara/Rex Features

Hacking

Triton: hackere ta ut sikkerhetssystemer i “vannskille’ angrep på energi anlegg

Sofistikert malware stanser driften ved strømmen stasjon i enestående angrep som eksperter mener at det var statsstøttet

Fredag 15 desember 2017 11.14 GMT

Sist endret fredag 15. desember 2017 11.15 GMT

• Del på Facebook

• Del på Twitter

• Del via E-post

• Se flere delingsalternativer

• Del på LinkedIn

• Del på Pinterest

• Del på Google+

• Del på WhatsApp

• Del på Messenger

• Lukk

I det eksperter kaller en skjellsettende øyeblikk, hackere har infiltrert den kritiske sikkerhetssystemer for industriell kontroll enheter som brukes i kjernekraft, olje og gass anlegg, stanse driften ved minst ett anlegg.

Angriperne, som antas å være statsautorisert, målrettet Triconex industriell sikkerhetsteknologi laget av Schneider Electric SE, ifølge sikkerhetsselskapet FireEye og Schneider, som fortalte om hendelsen på torsdag.

En sikkerhetsadvarsel ble sendt til brukere av Triconex, men verken firma ville avsløre innholdet eller plassering av anlegget, som noen har antydet kan være i midtøsten, muligens Saudi-Arabia. Eksperter sier angrepet markerer det første rapporterte brudd på hms-system på et industrielt anlegg av hackere.

Galina Antova, co-grunnlegger av cybersecurity firmaet Claroty, sa sikkerhet systemer “kan være lurt å indikere at alt er OK” selv som hackere skade en plante.

Den hackere brukte sofistikert malware, kalt “Triton”, til å ta fjernkontrollen til en sikkerhetsmessig kontroll arbeidsstasjon, ifølge en FireEye etterforskning. Noen kontrollere inn en sikkerhets modus som hackere prøvde å omprogrammere dem, forårsaker relaterte prosesser til å stenge ned og gir anlegget for å oppdage angrep.

Angriperne var trolig forsøker å lære hvordan de kunne endre sikkerhet systemer hvis de ønsket å lansere et angrep i fremtiden, sa FireEye.

“Dette er et vendepunkt,” sa Sergio Caltagirone, head of threat intelligence med cybersecurity spesialister Dragos. “Andre vil til slutt ta opp og prøve å kopiere denne type angrep.”

Sikkerhetsselskapet Symantec sa at Triton har vært aktiv siden September, og fungerer ved å infisere en Windows-datamaskin som er koblet til sikkerhet system. Det sa: “Mens det har vært et lite antall tidligere tilfeller av skadelig programvare designet for å angripe industriell kontroll systemer (ICS), Triton er den første til å angripe sikkerhet instrumenterte system enheter.”

“Den første og mest kjente eksempel på ICS malware ble Stuxnet, som var ment å angripe programmable logic controllers blir brukt i Irans anriking av uran-programmet.”

Følgende Stuxnet i 2010, den andre er kjent stykke malware er designet for å forstyrre industrielle systemer, var den såkalte Crash Overstyre eller Industroyer, trolig brukt i en desember 2016 angrep som kuttet strømmen i Ukraina.

CyberX visepresident Phil Neray sa hans sikkerhetsselskap fant bevis for at den skadelige programvaren ble distribuert i Saudi-Arabia, noe som tyder på at Iran kunne stå bak angrepet. Sikkerhetsforskere mye tror at Iran var ansvarlig for en serie angrep på Saudi Arabian nettverk i 2012 og 2017 ved hjelp av et virus som er kjent som Shamoon.

The US Department of Homeland Security sa det var ute i saken “for å vurdere den potensielle virkningen på kritisk infrastruktur”.

Schneider sa i sin security alert: “Mens tyder dette var en isolert hendelse, og ikke på grunn av et sikkerhetsproblem i Triconex system eller program-koden, fortsetter vi å undersøke om det er flere angrepsvektorer.”

• Tre menn trygler skyldig i tilfelle av cyber-angrep som lammet internett i 2016