Hacker-angreb går efter energisektoren

Illustration: Virrage Images/Bigstock
Et igangværende hackerangreb er lige nu ved at inficere energisektoren i Danmark og en række andre vestlige lande.

Russiske statsfinansierede hackere kan ifølge DR Nyheder mørklægge Danmark og resten af Europa. I hvert fald er det sådan skrækscenariet beskrives.

En bølge af højt avancerede og målrettede cyberangreb rammer i øjeblikket energiselskaber og lignende i en række vestlige lande. Ifølge DR slår både efterretningstjenester og sikkerhedseksperter alarm over angrebene, som viser flere tegn på at blive styret fra Rusland. Blandt andet kodninger med kyrilliske bogstaver.

Angrebene foregår ved at virksomheder i energisektoren bliver ramt af malwaren, havex. IT-sikkerhedseksperter fra Kaspersky Lab fortæller DR, at deres database indeholder 29 ip-adresser fra Danmark, som er blevet ramt af havex.

»Vi har ikke det fulde overblik over angrebet, men det er stort. Større end noget, vi har set tidligere,« understreger it-sikkerhedsekspert hos Kaspersky Lab Vicente Diaz overfor DR. Og han fortæller, at der blandt dem også er selskaber i den danske energisektor.

»Indicierne peger på, at det formentlig er en russisk gruppe med meget store ressourcer i ryggen. Højst sandsynligt statssponsoreret,« siger Luke Herbert, ph.d. og forsker i it-sikkerhed ved DTU til DR.

Havex-malwaren er en specialudviklet og ondsindet virus, som kan samle data og kan hjælpe indbryderne til at tage kontrol over it-systemer.

Bagmændene er rigtig dygtige, de har været i stand til at komme ind bag sikkerhedsforanstaltningerne hos en række energiselskaber, og dermed har de også været tæt på at kunne påvirke selskabernes drift og i yderste konsekvens bogstaveligt talt slukke for strømmen. Derfor skal vi tage det her meget alvorligt, siger Troels Ørting, leder af Europols afdeling for efterforskning af cyberkriminalitet til DR.

I sommer ramte angrebet Norge, hvor 50 norske virksomheder i olieindustrien alle fik havex ind i deres systemer.

DR Nyheder har haft kontakt til Energinet.dk og Dong Energy, som på opfordringen har foretaget scanninger af deres systemer uden at finde malware.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (32)
Christian Nobel

http://www.dr.dk/Nyheder/Penge/2014/11/03/204125.htm

En interessant passus fra artiklen:

Vi vil gerne erkende, at vi er kommet lidt for sent i gang, og at vi har noget efterslæb, som vi skal have hentet ind, siger teknisk direktør, Torben Glar Nielsen.

Ifølge Torben Glar Nielsen har det offentligt ejede Energinet.dk lagt en plan for, hvordan man hen over de kommende år vil rette op på den dårlige sikkerhed.

Og så er det man spørger sig selv (igen), hvorfor er det at man her i landet tror at sikkerhed er noget man hægter på bagefter, i stedet for at tænke det ind allerede før man starter?

Rasmus Iversen

Og så er det man spørger sig selv (igen), hvorfor er det at man her i landet tror at sikkerhed er noget man hægter på bagefter, i stedet for at tænke det ind allerede før man starter?

Så kunne man jo være fræk og sige at det er fordi folk som dig, der ved noget om emnet, ikke kan finde ud af at kommunikere det på en måde, så det bliver taget til efterretning:)

...det ville i hvert fald holde sig på samme niveau.

Christian Nobel

Så kunne man jo være fræk og sige at det er fordi folk som dig, der ved noget om emnet, ikke kan finde ud af at kommunikere det på en måde, så det bliver taget til efterretning:)

Nej!

Det drejer sig om at man fra ledelsens side ikke har den rigtig indstilling til sikkerhed (og her går jeg ikke ned i den tekniske detalje), og derfor tilsidesætter den fra dag et.

Det behøver ikke være sådan, det ses f.eks. inden for luftfartsindustrien.

Kenneth Nielsen

Og så er det man spørger sig selv (igen), hvorfor er det at man her i landet tror at sikkerhed er noget man hægter på bagefter, i stedet for at tænke det ind allerede før man starter?

Fordi sikkerhed koster penge, og det er gratis eller delvis gratis, at være ligeglad eller ignorant. Hvad er straffen fx for virksomheder der sløser med sikkerheden, og mister folks personlige oplysninger? Hvor meget staf har IBM, CSC og Nets m.fl., fået for at sløse med sikkerheden og lækning af personlige oplysninger? Hvad er Datatilsynets sanktionsmuligheder? Og har de overhovedet tænder?

martin nielsen

Det drejer sig om at der er så meget software i dag der er hyldevarer, og ingen reelt ved hvordan tingene virker fra ende til anden. Noget så "simpelt" som et cryptolibrary havde så meget kode, at ingen kendte til en katastrofal sikkerhedsfejl, der fik lov at eksistere i årevis.

Det software luftfartsindustrien bruger blev specialbygget til formålet, og det er stadig det samme software de bruger i dag, som er blevet vedligeholdt og videreudviklet, men aldrig erstattet. Alle milliardforsøgene på at erstatte softwaren er fejlet af den ene eller anden årsag, igen fordi man vælger at bygge det på eksisterende teknologi som alt for få har grundviden nok omkring. Og ATC software --må ikke fejle--. Det er derfor der stadig findes steder, selv i udviklede lande, hvor man bruger papir og blyant til visse udregninger.

Det er ikke et spørgsmål om sikkerhed. Det er et spørgsmål om kompetence. Behovet for absurde mængder sikkerhed spiller først ind når du har et operativsystem med snesevis af irrelevante services og moduler der ligger og lytter på internettet. Windows maskiner har længe været den nemmeste angrebsflade på ethvert netværk, men selv Linux distributioner er blevet så bloated at noget så simpelt som en Bash shell kan exploites.

Det der reelt er brug for i kerneindustrierne er et operativsystem der er specialbygget til formålet, og har et så absolut minimalt footprint som muligt. Det skal være så simpelt konstrueret at enhver datamatiker/datalog kan forstå det og debugge det fra start til slut. Om det så betyder man er nødt til at kannibalisere Linux kernen, eller praktisk talt starte forfra, eller hvad, det aner jeg ikke. Det er der nogen andre, der ved mere om operativsystemer end jeg gør, der kan tage en bedre beslutning om.

Christian Nobel

Det der reelt er brug for i kerneindustrierne er et operativsystem der er specialbygget til formålet, og har et så absolut minimalt footprint som muligt.

Man kan lave mange tekniske betragtninger som sikkert er korrekte nok, men jeg mener man skal starte meget mere lavpraktisk, hvorfor udtalelser som "vi er kommet lidt for sent i gang" og "lagt en plan for, hvordan man hen over de kommende år..." er helt fatale.

Det drejer sig absolut ikke kun om teknik, men om bevidsthed, herunder bevidstheden om at internettet, ligegyldig hvordan man end vender og drejer den, er et farligt sted, hvorfor det ikke er videre begavet "at lægge alt på nettet."

Christian P. Broe Petersen

Sådan er det altid, det er ikke kun IT.

Henry Ford installerede heller ikke sikkerhedsseler i model T.

Jeg må dog indrømme, at jeg troede sådan med den kolde krig og alt det i mente, at man havde en vis sikkerhed tænkt ind i kritisk infrastruktur, og at elnettet da bestemt er en del af det. Jeg må være naiv.

Er det kun hvis det virker farligt som atomkraftværker, at man tager forholdsregler - på forhånd? Jeg håber da ikke, at man lige kan installere en trojaner på et atomkraftværk, men måske er de atomkrafværker hvor man kan det kun ved at blive bygget, og sikkerheden ligger måske i at dem der kører er så gamle, at man skal kunne hulkorte for at få det hacket?

Hvad med forsvaret? Er det også windows XP laptops med netadgang, flash og java man styrer artelleri med?

Christian Nobel

... 50 år senere.

IT-branchen er først ca. 50 år gammel nu.

Dårligt argument - du kan ikke lave en lineær fremskrivning på den måde.

Og husk på, at inden for processkontrol, så har man allerede for mange år siden indtænkt sikkerhed - desværre kun personsikkerhed, men alligevel.

Derfor burde en gammel rotte i faget også være i stand til at have kunne forholde sig til problematikken for allerede 10-20 år siden!

Sidsel Jensen Blogger

http://www.dn.se/nyheter/sverige/it-expert-bristerna-ett-hot-mot-rikets-...

[qoute]
Bland de styrsystem som ligger på internet finns även Kiruna ESA Satellitstation, Landvetter flygplats driftbyggnad och Chalmers tekniska högskola.
[/qoute]

Nye Shodan brugere kan starte her: https://www.defcon.org/images/defcon-18/dc-18-presentations/Schearer/DEF...

Poul-Henning Kamp Blogger

Dårligt argument - du kan ikke lave en lineær fremskrivning på den måde.

Jo, det kan du faktisk.

Alle teknologier der har haft success i samfundsbredde har gennemgået den samme "læringsprocess" og på et eller andet tidspunkt griber samfundet ind for branchens klondyke mentalitet i forhold til sikkerhed.

Højhuse fik brandtrapper.

Elinstallationer fik isolerede ledninger og sikringer.

Biler fik blinklys og sikkerhedsseler.

osv.

Turen er kommet til IT.

Christian Nobel

Turen er kommet til IT.

Ja, men du kan ikke lineært bare sige 50 år!

Jeg er godt klar over at der er en modningsproces, men så langt burde vi allerede være - og som sagt allerede for 20-30 år siden var det helt almindelig adfærd inden for processudstyr at man satte personsikkerhed højt, og eventlogging, watchdogs mv. var altså heller ikke et ukendt begreb.

Desværre er der så sket det, at almindelig sund fornuft, i takt med forblændelsen over det fantastiske internet, er gået fuldstændig fløjten.

Mao - det er udtryk for direkte ignorance/dumhed, selv for ti år siden, at koble processudstyr på internettet - og trusselsbilledet var alment kendt allerede på det tidspunkt.
Så at sige at "vi er kommet lidt for sent i gang" er imo direkte tomhjernet.

Poul-Henning Kamp Blogger

Jeg er godt klar over at der er en modningsproces, men så langt burde vi allerede være - og som sagt allerede for 20-30 år siden var det helt almindelig adfærd

En rigtig god pointe.

Det der skete var "dot-com" som gjorde enhver teenager til "web-programmør".

Jeg har aldrig set nogle solide tal, men IT branchen blev ca. en faktor 1000 større på ganske få år, helt uden at det kostede en krone i uddannelsessektoren.

Det helt forudsigelige styrt i faglighed og kvalitet det medførte er vi først ved at kravle op og ud af igen nu.

Jeg plejer at kalde det fænomen "den tabte generation" og det er vigtigt at forstå at den er både tabt i IT branchen og udenfor, f.eks blandt politikere der tror "digitalisering" er en magisk måde at spare penge på offentlige kontorer.

Frithiof Andreas Jensen

Hvorfor er det lige at man ikke har adskilte net til sådan noget kritisk infrastruktur?


Fordi Markedet! Markedet efterspörger väkst og transaktionshastighed så de hurtige penge kan laves. Hvis noget er "kritisk" gör det i og for sig ikke noget, så länge man kan köbe en forsikring eller sälge det til nogen inden det går i stykker eller måske endda tage et väddemål på råvareböresen ala ENRON.

Det sidste behöver man ikke väre "statssponsoreret" for: Det private initiv giver i sig selv rigeligt med ressourcer og incitamenter til gode hackere.

Jan Heisterberg

At der er konstateret manglende sikkerhed .....
eller
At den ansvarlige minister tillader tre års opretning .....

Jeg mener naturligvis det sidste.
Det er naturligvis muligt, på ekstremt kort tid, at kappe forbindelsen til internettet OG forbyde enhver brug af ekstern lagringsmedier (eg. USB-nøgler og BlueTooth devises) og dermed sætte prop i hullet.
Dernæst skal havaristen lænses for dårligdom (dvs. Kode som allerede er sneget ind. Er det let ? Nej. Er det umuligt ? Måske. Skal det gøres ? Naturligvis.

Ministeren har skrevet sig ind i en bog med mange andre radikale ministre, som vi helst havde været foruden.

Jeg HÅBER der er rigtige mænd hos Energinet og andre steder som tager det her alvorligt - og ikke bare tager ja- og salgs-hatten på under devisen: det går nok - for det gør det måske ikke !

Christian P. Broe Petersen

http://www.securityfocus.com/news/6767

Jeg fatter ikke sådan noget. Nu havde de så analog overvågningsom ikke fejlede, men jeg forstår ikke behovet for at være koblet på nettet. Jo - måske noget ekstra fjernovervågning, men det må man da kunne gøre fysisk envejs, altså så den spytter data ud, men der ikke er nogen vej ind, så hvis man skal pille ved noget, så skal man sidde i det lokale kontrolrum. Alternativt skal forbindelsen til den centrale køre via et fysisk adskilt net, som ingen adgang har til nettet - heller ikke via en "firewall", som jeg altid kan have huller i dens software.

Men ok - det er nok bare mig der ikke er klar nok på fremtidens "internet of things". Det bliver spændende når de også kan ændre temperaturen i mit køleskab og sætte ild i min stegepand fra Kina, Rusland eller Cambodia, alt efter hvor de onde black hats nu skal forestille at sidde henne.

Jens Jönsson

Det er naturligvis muligt, på ekstremt kort tid, at kappe forbindelsen til internettet OG forbyde enhver brug af ekstern lagringsmedier (eg. USB-nøgler og BlueTooth devises) og dermed sætte prop i hullet.

Det bør sådan set være forholdsvis nemt at identificere hvilke netværk udstyret kører på, få dem isoleret (f.eks. vha. VLAN) og så sætte firewall op, som logger ind/udgående trafik.

Det kan da godt være det ikke tager "et par dage". Måske et par måneder, men ligefrem år ?

Det er en ommer!

Frithiof Andreas Jensen

forbyde enhver brug af ekstern lagringsmedier (eg. USB-nøgler og BlueTooth devises) og dermed sætte prop i hullet.

Jaja - for det går vel at opgradere dine PLC'ere med tankens kraft alene!?

De fleste PLC'ere opdateres med en hukommelsesmodul som man fysisk stikker ind i maskinen. Nogen gange indeholder modulet hele programmet, så man "opgraderer alt på een gang", i andre systemer stikker man en kodeblok ind i "main memory" fra hukommelsesmodulet.

Det er helt normalt at konsulenter o.s.v. tager deres ändringer med på den måde. Det er ikke normalt at man kan omprogrammere en PLC via dens netvärks-forbindelse; det er en moderne "feature" som af mange gode grunde slet ikke efterspörges af "markedet" - man skal alligevel "derned" og idriftsätte den ändrede kode hele vejen efter "bogen", så man sparer ikke noget og man undgår situationer som at een eller anden knold fumler og opgraderer det forkerte system; der er ikke så meget "roll-back" på 200 tons papirmasse ud over gulvet!

Procestyringen er gerne noget versions-bundet Windows-software, der er mest der skoen trykker. Siemens leverer dog et HMI-system (WinCC OA) som kan köre på Windows Server, Solaris og Linux - alle 3 er en väsentlig forbedring over de gamle WinXP / WinNT der sidder rundt omkring i kosteskabene.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder