Hackere brøt seg inn i SCADA-system ved hjelp av Youtube

Industriens kontrollsystemer er sårbare overfor ondsinnede hackere, siden mange systemer ligger åpent tilgjengelige, og medarbeiderne ikke tenker på trusler mot cybersikkerheten.

kaspersky1
kaspersky1 (Foto: Kaspersky lab)
EKSTRA

Industriens kontrollsystemer er sårbare overfor ondsinnede hackere, siden mange systemer ligger åpent tilgjengelige, og medarbeiderne ikke tenker på trusler mot cybersikkerheten.

  • Sikkerhet
Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

I Ukraina forsvant strømmen etter at en ingeniør hadde fortalt åpent om tekniske detaljer på Youtube.

Kullsvart. Slik så det ut i store deler av den ukrainske hovedstaden Kiev, en kald ettermiddag i desember 2016. Her mistet over en halv million innbyggere strømmen da ondsinnede hackere lyktes i å slå av kontakten på et SCADA-system som styrer sentrale deler av strømnettet i Kiev. Strømbruddet varte i en time og 15 minutter, før ingeniører fikk tiltvunget seg adgang og gjenopprettet strømforsyningen.

Selv om det fremdeles hører til sjeldenhetene, blir industrielle kontrollsystemer som SCADA-systemer i økende grad utpekt som mål av hackere verden over. Det forteller den russiske automasjonsingeniøren og cybersikkerhet-eksperten Kirill Naboyshchikov fra Kaspersky Lab.

Danske IndustryTech møtte ham nylig da han var i Danmark for å fortelle om erfaringene sine med den malwaren som har fått navnet Industroyer, og som hackere brukte til å stenge av strømmen i Ukraina for to et halvt år siden.

For selv om angrepet skjedde for flere år siden, er trusselen fremdeles stor, og ifølge Kirill Naboyshchikov er det spesielt to årsaker til at industrielle kontrollsystemer er lukrative mål for hackere: Dels er mange kontrollsystemer av eldre dato, og  slett ikke konstruert for å bli koblet til nettet, og dels er mange ansatte i industrien ikke oppmerksomme på cybersikkerhets-truslene mot de industrielle kontrollsystemene som SCADA-systemer og PLC-er som brukes til å styre maskiner og fysiske prosesser.

Trodde det var en menneskelig feil

Da Kirill Naboyshchikov første gang ble bedt om å undersøke angrepet på det ukrainske strømnettet, var han også skeptisk: Var det overhodet mulig å bryte seg inn i SCADA-systemet?

– Jeg ble invitert til å undersøke angrepet, fordi jeg har jobbet med automasjonssystemer til nettopp denne typen elektriske transformatorstasjoner. Til å begynne med var jeg skeptisk med hensyn til om det overhodet hadde skjedd et hackerangrep, eller om det bare var en dårlig unnskyldning for menneskelige eller tekniske feil på anlegget, sier Kirill Nabloyshchikov.

Kirill Naboyshchikov er Business Development Manager hos russiske Kaspersky Lab. Foto: Kaspersky lab

Han begynte med en åpen ettersøkning av anlegget på det åpne internettet, og det han fant var foruroligende.

– Jeg kunne se at anlegget lå rett ved siden av en militærbase, så stedet var viktig og burde ha et høyt sikkerhetsnivå. Men jeg fant raskt ut at den medarbeideren som hadde ansvaret for automasjonssystemene på anlegget var aktiv Youtube, blogger og sosial medie-aktivist. Han delte mye informasjon om de konkrete automasjonssystemene på anlegget, og la ut videoer hvor han lekte med brannslokkere, klatret på anlegget og viste hvordan sprinkleranlegget utløses. Det er slett ikke meningen at man offentlig skal vise den typen informasjon som han delte i blogger og videoer, sier Kirill Nabloyshchikov.

Nyhetsinnslag med tekniske detaljer

Men det var ikke bare den automasjonsansvarlige som var løsmunnet på Youtube.

– Jeg fant flere nyhetsinnslag i HD på Youtube. De var lagd i forbindelse med at anlegget ble innviet året før hackerangrepet, der blant annet statsministeren deltok. Her kunne jeg se en masse tekniske detaljer om anlegget, for eksempel hvilket SCADA-system som ble benyttet, IP-adresser og nettverksnavn for de ulike enhetene, kart over anlegget, og hvor det var satt opp kameraer. Det satt blant annet små post-it-lapper med IP-adresser på de forskjellige skjermene, forteller Kirill Nabloyshchikov.

Hvis hackerne tross alt dette ikke hadde fått de nødvendige opplysningene fra Youtube, kunne de lett klikke seg videre til nettsidene til hovedleverandøren av anlegget.

– Her lå det skjermbilder fra HMI-interfacen med mange tekniske detaljer om anlegget. Det var ganske sjokkerende å se så mye informasjon lagt åpent ut. Jeg var likevel fremdeles i tvil om hvorvidt alle disse opplysningene reelt kunne brukes til å bryte seg inn i automasjonssystemene. Men jeg fant raskt en online-oversikt over sårbarheter i industrielle kontrollsystemer, hvor jeg kunne se en sårbarhet i nettopp det SCADA-systemet som ble benyttet, sier Kirill Nabloyshchikov.

Her kan man se de mange opplysningene som har blitt lagt ut offentlig via nyhetsinnslag og en løsmunnet automasjonsingeniør. Foto: Kaspersky lab

TV-innslaget hadde blitt produsert ett år før angrepet, og sårbarheten var publisert fem måneder før angrepet, så hackerne hadde hatt god tid til å planlegge hvordan de skulle bryte seg inn.

– Kombinasjonen av tilgjengelig informasjon og sårbarhet var nok til at angriperne hadde gode muligheter for å angripe, forteller Kirill Nabloyshchikov.

Nyhetsinnslagene ligger forøvrig fremdeles på Youtube.

Det er ikke bare industrielle kontrollsystemer som ligger åpne for angripere. IndustryTech har tidligere beskrevet hvordan mange roboter som er programmert i ROS, lett kan søkes fram og angripes online.

Utpressing rammer også hardt

Mens det målrettede angrepet i Ukraina hører til blant de mer sjeldne angrepene, øker antallet industribedrifter som får lammet produksjonen på grunn av utpressing, eller ransomware, via de konvensjonelle it-miljøene. For kort tid siden fikk Norsk Hydro, som er en av verdens største aluminiumsprodusenter, stengt ned store deler av produksjonen i Europa og USA på grunn av et ransomware-angrep.

I Danmark er Mærsk først nå i ferd med å få reparert de skadene som rederiet ble rammet av da malwaren Notpetya i juni 2017 lammet Mærsks globale infrastruktur. Det har blant annet kostet 4000 nye servere, 45.000 nye pc-er og 2500 applikasjoner. Totalt har cyberangrepet kostet Mærsk mellom 1,6 og 1,9 milliarder danske kroner – ca. 2,3 milliarder norske kroner.

Den danske produsenten og leverandør av fjernvarmesystemer Isoplus Fjernvarmeteknik i Middelfart ble angrepet i en mindre skala i august 2018, da epost-systemet og ERP-systemet ble lammet. Hackerne hadde fått tilgang via en underleverandør som hadde administrator-rettigheter til Isoplus Fjernvarmetekniks ERP-system.

Saken ble først publisert på danske Industrytech, og gjøres tilgjengelig på norsk for abonnenter av Digi Ekstra gjennom vår samarbeidsavtale med Teknologiens mediehus/Ingeniøren.

Kommentarer (0)

Kommentarer (0)
Til toppen