‘Industroyer’ viruset kan få ned strømmen nettverk, forskere advarer

Oppdagelsen av nye malware viser sårbarheten i kritisk infrastruktur, bare måneder etter at den WannaCry ransomware tok ut NHS datamaskiner

electricity pylons

Viruset angriper elektrisitet transformatorstasjoner og effektbrytere ved hjelp av industriell kommunikasjonsprotokoller.
Foto: David Mcnew/AFP/Getty Images

Malware

‘Industroyer’ viruset kan få ned strømmen nettverk, forskere advarer

Oppdagelsen av nye malware viser sårbarheten i kritisk infrastruktur, bare måneder etter at den WannaCry ransomware tok ut NHS datamaskiner

@alexhern

Tirsdag 13. juni 2017 16: 35-toget BST

Sist endret tirsdag 13 juni 2017 17.01 BST

Seks måneder på fra et hacker-angrep som førte til en blackout i Kiev, Ukraina, sikkerhet forskere har advart om at den skadelige programvaren som ble brukt i angrepet ville være “lett” å konvertere til krøpling infrastruktur i andre land.

Oppdagelsen av malware, kalt “Industroyer” og “Crash Overstyre”, understreker sårbarheten i kritisk infrastruktur, bare måneder etter at den WannaCry ransomware tok ut NHS datamaskiner over hele STORBRITANNIA.

Industroyer, analysert av forskere fra slovakias ESET og USA er Dragos, er bare den andre kjente tilfellet av et virus, bygget og lansert spesielt for å forstyrre industriell kontroll-systemer. Den første var Stuxnet, ormen som saboterte Iranske kjernefysiske programmet, som ble antatt å ha blitt bygget av USA og Israel.

Viruset angriper elektrisitet transformatorstasjoner og effektbrytere ved hjelp av industriell kommunikasjonsprotokoller som er standardisert på tvers av en rekke typer av kritisk infrastruktur – fra strøm, vann og gass forsyning til transport og kontroll.

De kontroll protokoller dato tiår tilbake, lenge før sikkerhetsløsninger slik som kryptering og autentisering ble standardisert. Deres eneste virkelige sikkerhet funksjonen innebærer sequestering dem på nettverk som ikke er direkte koblet til internett, men som har behov for økonomisk effektivitet har trykket på, selv det har blitt dumpet.

Denne felles angrepsvektor gjør Industroyer så farlig, i henhold til ESETS: “problemet er at disse protokollene ble laget for flere tiår siden, og da industrielle systemer var ment å være isolert fra omverdenen,” sier Anton Cherepanov, en ledende malware forsker ved fast. “Dermed, deres kommunikasjon protokoller ble ikke laget med sikkerhet i tankene. Det betyr at angriperne ikke trenger å være på jakt etter protokollen sårbarheter; alt de trengte var å lære malware ‘å snakke’ disse protokollene.”

traffic lights in California

Facebook

Twitter

Pinterest

“Dette er så skummelt som det høres ut,” sa Andrew Clarke, av sikkerhetsselskap En Identitet. ‘Det betyr at sykehus kan miste kraft mid-kirurgi. Eller trafikklys kutte ut forårsaker ulykker.’ Foto: Medioimages/Photodisc/Getty Images

Som gjør det mulig å angripe flere typer av kritisk infrastruktur, med bare små endringer. “Angriperne kunne tilpasse malware til ethvert miljø,” sier Cherepanov, “noe som gjør det ekstremt farlig”.

Andrew Clarke, av sikkerhetsselskap En Identitet, sa: “Dette er så skummelt som det høres ut. Først, det er veldig vanskelig å oppdage fordi den bruker kjente og tillatte koden ennå i nefarious moduser. I tillegg, vi snakker ikke om å stjele noen avslørende bilder fra noen kjendiser sky lagring beliggenhet. Dette er styring av kraftnettet. Det betyr at sykehusene kan miste kraft mid-kirurgi. Eller trafikklys kutte ut forårsaker ulykker.”

Den spesifikke angrep på Kiev var en relativt lavmælt affære, spesielt i forhold til feiende strømstans som hadde blitt forårsaket av en annen cyber-angrep et år tidligere. Men de tidligere angrep, mens mer skade, kreves menneskelig kontroll for å utnytte sikkerhetsbrudd i faktiske skade, i kontrast, Industroyer kan forårsake besvimelse automatisk. Som har ledet noen til å lure på om det Kiev angrep var mer en test for å se om den skadelige programvaren vil fungere i praksis. Men uansett, Cherepanov sier angrepet “bør tjene som en oppvekker for de som er ansvarlige for sikkerheten i kritiske systemer rundt om i verden”.

På toppen av sitt angrep funksjoner, Industroyer har også evnen til å skade styre PC-en seg selv, slik at det ikke kunne starte og potensielt elongating eventuelle resulterende blackout.

The US Department of Homeland Security sa det var for å undersøke malware, selv om det hadde sett ingen bevis som tyder på at det har smittet OSS kritisk infrastruktur. Ingen spesifikke attributter for Kiev-angrep har blitt bekreftet, men den ukrainske regjeringen har skylden Russland, som det gjorde for lignende angrep i 2015. Myndighetene i Moskva har gjentatte ganger nektet for ansvaret.

Som med WannaCry, det er mulig å fikse den risiko som følge av Industroyer før det fører til katastrofe – men å gjøre det vil være dyrt og tidkrevende, ifølge Paul Elon, direktør på cybersecurity firmaet Tripwire. “På grunn av økonomiske presset, har det blitt nødvendig for mange organisasjoner for å sentralisere noen av styring og kontroll funksjoner som tidligere har vært lokale for industrielle anlegg, raffinerier, og distribusjonsanlegg.

“Dette sentralisering har ment å utvide rekkevidden av enterprise-nettverk i industrielle miljø, og dermed utsette de industrielle miljøer til nivåer av cyber risiko som de var verken sikret heller ikke utformet.”


Date:

by