Hackere krydser etisk grænse med angreb på nødberedskab i Mellemøsten

Det kan have livsfarlige konsekvenser når Industrielle kontrolsystemer bag kritisk infrastruktur angribes, og hackerne er blevet mere ligeglade. Illustration: Schneider Electric
Når statslige aktører sender malware mod kritisk infrastruktur, har der indtil nu været et uudtalt moralsk kodeks, der forbyder personskade. Den grænse er for nylig blevet krydset flere gange, og eksperter frygter, at fremtidige cyberangreb får større konsekvenser.

Maroochy Shire Hack, Stuxnet, Shamoon, Havex og senest CrashOverride har alle det til fælles, at det er malware rettet mod industrielle kontrolsystemer (ICS), der styrer kritisk infrastruktur, eksempelvis elnettet, atomkraftværker, olieraffinaderier og lignende.

De har også det til fælles, at det er malware rettet mod maskiner, ikke de mennesker der arbejder på installationerne, og ingen af angrebene har resulteret i personskade.

Helt anderledes så det ud ved Triton-angrebet sidste år - et angreb på et ukendt anlæg i Mellemøsten, hvor et sikkerhedssystem fra automationsvirksomheden Schneider Electrics kaldet Triconex blev inficeret af malware, der endte med at få det industrielle anlæg til helt at lukke ned.

Triconex er et sikkerhedssystem, der skal lukke ned for processer, hvis de afviger fra normale grænseværdier. Det bruges typisk i atomkraftværker og olieraffinaderier.

Her var hensynet til menneskeliv fraværende. Hvilket er særligt bekymrende, fordi sikkerhedssystemet Triconex ofte bliver brugt til olie- og gas-anlæg, men også til atomkraftværker og fremstillingsvirksomheder.

Eksperter kalder udviklingen bekymrende, fordi de statslige aktører, der især interesserer sig for kritisk infrastruktur, ser ud til at være klar til at acceptere personskader for at få oplysninger om andre staters infrastruktur.

»Der har været en etisk grænse. Man har længe målrettet anlæg, fabrikker og installationer, men man har ikke målrettet personerne, der betjente dem. Og man har heller ikke tidligere lavet angreb, der vil slå folk ihjel, hvis de virker,« fortæller Michael Weng, sikkerhedsekspert i konsulentvirksomheden ics2secure, der arbejder med cybersikkerhed på især industrielle kontrolsystemer (ICS).

Læs også: Statslige hackere angriber industriens kontrolsystemer

Triton skulle skade personer

Det er ganske ildelugtende at få lukket kloakvand ud i parker, hoteller og bække, som da Maroony Shire fik hacket deres spildevandsanlæg. Men der var på intet tidspunkt menneskeliv i fare.

I Ukraine forsvandt strømmen et par timer hos tusindvis af borgere ved CrashOverride-angrebet i 2016.

Men ingen kom til skade, fordi langt de fleste centrale infrastrukturenheder, som hospitaler, alarmberedskaber og lignende, har nødgeneratorer, der kan træde midlertidigt til.

Den linje blev krydset under Triton-angrebet i Mellemøsten.

Malwaren var specialdesignet til at ramme et nødberedskabsanlæg på et større anlæg.

Triton blev brugt mod et endnu unavngivet anlæg, som heldigvis ikke led katastrofale fejl. Ved at rette angrebet mod sikkerhedssystemet ville det formodentlig have slået personer på anlægget ihjel, hvis det havde virket en smule bedre.

»Det var specifikt designet til at stå deres kontrolsystem ud og derved forvolde skade. Men de folk, som gik og passede deres arbejde, ville også være røget i processen,« siger Michael Weng og uddyber:

»I den forstand er det virkelig gået over til at være cyber warfare

Triton-malwaren var ligesom de fleste andre kendte angreb på industrielle kontrolsystemer ikke udført at cyberkriminelle på jagt efter penge, men af statslige aktører på jagt efter information.

»Vi har helt klart set en ekskalering af trusselsbilledet. Triton er den første type angreb med et potentielt dødeligt resultat,« siger Mikael Vingaard, beredskabskoordinator hos Energinet.

Læs også: USA: Rusland bag cyberangreb mod vores elnet

Angreb på industrielle kontrolsystemer er systematiske og udspekulerede, og der kommer flere af dem

Mængden af angreb målrettet industrielle kontrolsystemer er ikke nær så stor som mængden af angreb rettet mod almindelige internetbrugere, men de har potentiale til at forvolde betydeligt mere skade, og mængden af dem er voksende.

»Vi ser flere og flere af den her slags angreb, som er målrettet ICS, og vi er helt åndssvage, hvis vi ikke begynder at forberede os på mange flere,« siger Michael Weng.

Han sender samtidig en bredside mod myndighederne, som han mener er for passive, når det handler om at beskytte den danske infrastruktur endnu bedre.

»Derfor ville det også være helt fantastisk, hvis Center for Cybersikkerhed (CFCS) endelig kunne finde ressourcer til rent faktisk at støtte dansk erhvervsliv - og især virksomheder med kritisk infrastruktur - med noget konkret og brugbart. Eksempelvis som de vejledninger og anbefalinger, der kommer fra både NSA og ASD (det australske signaldirektorat),« uddyber han.

Voksende trussel

En rapport fra sikkerhedsfirmaet Dragos anslår, at truslen er stigende, og at særligt interessen efter Stuxnet-angrebet har fordret øget forskning og investering i angreb på industrielle systemer.

Sikkerhedsfirmaet kender til mindst syv grupper, som målrettet går efter industrielle systemer, og har de sidste to år observeret mindst 10 forskellige hackingkampagner målrettet ICS.

Angriberne målretter software til bestemte typer komponenter og proprietære automationsprotokoller, og bruger ofte værktøjer de finder indenfor det angrebne system, hvilket gør antivirus til et utilstrækkeligt forsvar.

Ifølge Dragosholdet er angriberne ofte vedholdende, tålmodige og har vist sig villige til at vente i måneder eller år, før de overhovedet begynder at angribe kontrolsystemerne.

»Det med, at man angriber et system, der er beregnet til at beskytte de mennesker, der betjener et infrastrukturanlæg, er en ny drejning. Hvis der har været en etisk grænse, er den i hvert fald krydset,« siger Michael Weng

Danmark og resten af EU har netop implementeret det nye direktiv om sikkerhed i net- og informationssystemer, også kendt som NIS-direktivet, der skal styrke cybersikkerheden i kritisk infrastruktur. Direktivet betyder blandt andet, at operatører af væsentlige tjenester skal fortælle om sikkerhedshændelser, ligesom 62 energiselskaber skal lave it-risikovurderinger og beredskabsplaner.

I Danmark er det Center for Cybersikkerhed, der er udpeget som CSIRT-enhed.

Læs også: Sikkerhedsforsker: Energiforsyningen er hackernes nye mål

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
Michael Weng

... skal lige tilføjes at det selvfølgelig ikke kun handler om kritisk infrastruktur, men også om almindelig produktionsvirksomheder, der hvis SIS installationerne kompromitteres, kan opleve at de ansatte kommer til skade ... tænk f.eks. process, kemi, olie og gas ... der kan det ligeledes få fatale følger, hvis SIS anlæggene kompromitteres ... for både mennesker og miljø ...

Kjeld Flarup Christensen

Spørgsmålet er så hvad man skal kalde tilstanden.
På mange måder kan det jo sammenlignes med de bombardementer som blev foretaget under anden verdenskrig. Og så taler vi jo altså om en krigshandling - i fredstid.

Oftest så ved man ikke (så det holder i retten) hvem som står bag, hvilket er det mest bekymrende, når vi taler om statslige aktører. Så er det jo stats-terror.

Mogens Lysemose

Ja så vidt jeg husker Geneve-konvetionen skal man bære kendingsmærker såsom uniform når man er i krig. Ellers er det vel ulovlige attentater - udført af "ulovlige kombatanter"...

Men det afhænger vel også af målet - hvis fabrikken f.eks. beriger uran/plutonium til A-våben eller laver kemiske våben så er man vel et validt militært mål...?

Thomas Toft

På mange måder kan det jo sammenlignes med de bombardementer som blev foretaget under anden verdenskrig. Og så taler vi jo altså om en krigshandling - i fredstid.

Bombardementer som USA og UK brugte mod Japan og Tyskland ville vi ikke bare kalde krigshandlinger i dag men krigsforbrydelser. Det ville det også være i tilfælde som disse, når man specifikt går efter civile og civile mål.

Oftest så ved man ikke (så det holder i retten) hvem som står bag, hvilket er det mest bekymrende, når vi taler om statslige aktører. Så er det jo stats-terror.

Om det holder i retten er ofte mest et spørgsmål om man vil/tør tage det i retten og ikke mindst vil/tør samle beviser. Hvis man ville/turde det ville bl.a. USA og Israel stå til halsen i sager, men da det som bekendt ikke er terror hvis "vi" står bag men frihedskæmpere, modstandsbevægelser, hjælp fra det internationale samfund, osv. og det er "os vs. dem" så vil det kun være sager der er udført af / kan tørres af på lande vi ikke kan lide -så som Rusland, Kina og Nord Korea- der vil have konsekvenser. Med andre ord: Nøjagtig som det har været de sidste 60+ år.

Hvis det skal blive bedre bør vi starte med at ændre tingenes tilstand i vores egen lejr så vi ikke længere er på aggressors side men som minimum er neutrale. Der vil komme et angreb mod Danmark på et tidspunkt som koster menneskeliv og det er vi 100% selv skyld i, desværre.

Men det afhænger vel også af målet - hvis fabrikken f.eks. beriger uran/plutonium til A-våben eller laver kemiske våben så er man vel et validt militært mål...?

Man skal bære kendingsmærker hvis det skal følge international lov uanset målets type, så det vil stadig være terror eller krigsforbrydelser.

Ditlev Petersen

Man skal bære kendingsmærker hvis det skal følge international lov uanset målets type, så det vil stadig være terror eller krigsforbrydelser.


Det skulle ikke undre mig, hvis nogle af hacker-korpsene bærer uniform, og så er formalia vel overholdt? Lige som når en droneoperatør tusinder af km fra slagmarken/bryllupsfesten har en uniform på. Det gør ingen forskel og åbenbart er konventionerne forældede på det punkt.

Men angreb på rene civile mål er vel stadig en krigsforbrydelse (jeg kan ikke huske det præcist, jeg var ikke i militæret)?

Og hovedproblemet er, at man ofte ikke med sikkerhed kan vide, hvem der stod bag. Står der et bandeord på tysk i programmet, er det Tyskland, står der et på russisk, er det Rusland etc.? Det holder jo ingen steder. Lige så lidt som et lig i en polsk uniform gav Polen skylden for 2. Verdenskrig. Så et svar kan nemt ramme den forkerte modtager. Selv om man på forunderlig vis kan udpege gerningsmændene til at operere fra et bestemt land, så kunne det jo være lokale gangstere. Når teknikken bag et angreb først er kendt uden for de nationale hackerkorps, så kan enhver idiot lege med i en periode.

Albert Nielsen

Bombardementer som USA og UK brugte mod Japan og Tyskland ville vi ikke bare kalde krigshandlinger i dag men krigsforbrydelser.

Ja, heldigvis var de tyske bombeangreb på Polen, Holland, Belgien, UK, m.fl., de sovjetiske bombe- og artilleriangreb på Østpolen og Tyskland samt Japans massedrab i de besatte lande og især Kina, ikke krigsforbrydelser ... hvorfor er de ellers udeladt?

Hans Nielsen

Men det afhænger vel også af målet - hvis fabrikken f.eks. beriger uran/plutonium til A-våben eller laver kemiske våben så er man vel et validt militært mål...?


Ja hvis man har erklæret krig.
Eller kommer man ind under gruppen af ulovlige kombattanter, som har meget få rettigheder. I de fleste krige, vil du sikkert i kampsituationer, slippe af sted med at skyde dem på stedet. Men du kan også komme til at sidde i guantanamo på ubegrænset tid.

Angreb på civile er også i orden, i den forstand, at for at sætte modstanderne ud af spille, og vinde krigen, så må du også angribe infrastrukturen. Som veje, boligere (til arbejder), el, vand , kommunikation, og industri.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017