Förra året kunde vi se en ökning av antalet attacker mot industriell infrastruktur. Attackerna var också mer avancerade. En ”verktygslåda” upptäcktes med moduler som kan angripa tiotusentals industriella styrsystem (industrial control systems, ICS) i olika branscher. Samtidigt kunde statistik från Dragos, ett cybersäkerhetsföretag med inriktning på industri, visa att 80 procent av de drabbade it-miljöerna inte hade någon insyn i ICS-trafiken. Hälften hade problem med nätverkssegmentering och med icke övervakade anslutningar till de industriella driftsystemen.
”Ett antal av de hot som Dragos bevakar kan komma att utveckla sina störande och skadegörande potentialer i framtiden eftersom fienden ofta bedriver omfattande forskning och utveckling (FoU) och bygger upp sina program och kampanjer på lång sikt.” Det skriver Dragos undersökare i sin nyligen släppta årsrapport.
Aktiva hotgrupper spåras
Dragos har spårat sammanlagt 20 olika hotgrupper som har angripit industriell infrastruktur sedan 2020. Under 2022 var åtta av de grupperna aktiva, däribland två nya som Dragos har gett namnen Chernovite och Bentonite.
Av de två utmärker sig Chernovite tydligt. Chernovite tycks ha både fas 1 och fas 2 i det som kallas för ICS Cyber Kill Chain. Fas 1 är det inledande intrånget och informationsinsamlingen. Angriparen samlar in information om driftsmiljön för att kunna ta fram metoder att angripa det aktuella styrsystemet. Fas 2 är vapenutvecklingen baserad på fas 1. Då utvecklas förmågan att faktiskt attackera det industriella styrsystemet.
Chernovite är gruppen som står bakom det som Dragos kallar för Pipedream. Det är en plattform med skadeprogram för attacker mot industriella styrsystem. Cybersäkerhetsföretaget Mandiant kallar det däremot för Incontroller. Skadeprogrammet upptäcktes i början av 2022 och tros ha utvecklats av en statlig aktör. Dragos gör inga bedömningar av vem eller vilka som ligger bakom attacker. Mandiant påpekar däremot att det hela ligger i linje med Rysslands vanliga intresse för industriella styrsystem, men medger att det saknas övertygande bevis.
Pipedream / Incontroller upptäcktes innan det togs i bruk. Angriparna hann inte trycka på avtryckaren innan skadeprogrammet upptäcktes – men det var nära. Detta enligt Robert M Lee, vd och medgrundare av Dragos. Han anser att skadeprogrammet inte fick den uppmärksamhet det förtjänade, troligen för att det avslöjades innan det hann ställa till skada. Men det är ett skadeprogram med stor förmåga att ställa till skada och förödelse – det var det närmaste vi hittills varit att se infrastrukturen i USA och Europa slås ut.
– Jag vill inte förstora upp något, men jag tror att många i branschen så att säga tog det hela lätt eftersom det inte var någon stor attack, sa Lee:
– Det var inte en Colonial Pipeline. Det var inte Ukraine Electric. Det var något som inte inträffade, men jag tror inte att folk fattar hur nära det var att det hade inträffat.
Man tror att Chernovite hade ett tiotal anläggningar för elproduktion och flytande naturgas som måltavlor, men skadeprogrammet är inte inriktat enbart på de branscherna. Pipedream är faktiskt det första kända skadeprogrammet för industrisystem som utnyttjar funktioner i några av de mest spridda ICS-protokollen. Till exempel de som används av Schneider Electric, Omron, Codesys PLC och andra PLC:er som stöder standarden OPC Unified Architecture (OPC UA). (PLC = programmable logic controller – dator för styrning av industriellt maskineri.)
Med andra ord – allt som en användare kan göra med användning av de protokollen kan skadeprogrammet också göra. Enligt Lee är detta på sätt och vis mer genomarbetat än något av programmen från de legitima utvecklarna. Deras program fungerar nämligen bara med deras egen PLC – men Pipedream klarar allihop.
– Det är faktiskt imponerande, säger Lee:
– Från början var det konstruerat för att angripa 15 olika anordningar, men så som det har utvecklats kan det fungera med tusentals olika controllers och annat i branschen, hundratals leverantörer och i stort sett varenda bransch som finns.
Det värsta är att det inte finns någon sårbarhet att täppa till. Det är nästan bara originalfunktioner. Dragos räknar kallt med att skadeprogrammet ska sättas igång igen, och det finns inget enkelt skydd. Företag och myndigheter som bara inriktar sig på förebyggande men inte också på upptäckt och motåtgärder har noll chanser mot det här hotet, enligt Lee.
– Vi har mycket mindre överblick än vad folk inser, globalt sett, säger Lee:
– Jag skulle säga att kanske fem procent av världens infrastruktur övervakas. Om allt vi gör går ut på att förebygga attacker, men bara fem procent av alla företag faktiskt ser över sitt eget hus – då lär du inte upptäcka så många hot som du skulle vilja. Jag skulle säga att vi jobbar med det där fönstret på fem procent. Och då hittar vi ändå en hel del ruskiga saker.
Bentonite, den andra nya hotaktören, upptäckt 2022, tycks hittills bara ha kapacitet i fas 1. Aktören är främst inriktad på tillverkningsindustrin samt olja och gas. Men Bentonite tycks inte ha några preferenser när det gäller vilka organisationer det ger sig på. Det utnyttjar alla öppna fjärranslutningar det kan hitta, eller indirekta anslutningar. Gruppens installerade mängd skadeprogram är obetydligt. Men enligt Dragos är det en smart grupp. Den samlar in information som ska ge den möjlighet att tränga in i industriella driftsmiljöer i framtiden. Allt från diagram över industrins utrustning till data om processer.
En annan grupp, fortfarande aktiv under 2022, var Kostovite. Gruppen upptäcktes 2021 och har visat sig kunna infiltrera i sidled och på så sätt nå driftssystem och ICS-system. Kostovite utnyttjar ofta företagens skalsystem och använder dag noll-sårbarheter. Det har dedikerad infrastruktur för varje mål, och det finns tecken som tyder på överlappning med APT5. Det är en av de äldsta Kinabaserade grupperna för cyberspionage.
Kamacite och Electrum är två grupper som är fortsatt aktiva. De är knutna till Sandworm, som tros ingå i Rysslands militära underrättelsetjänst, GRU. Sandworm ligger bakom destruktiva attacker med skadeprogrammet Notpetya och också bakom flera attacker mot Ukrainas elnät med skadeprogrammet Blackenergy och Industroyer. Man tror att Kamacite är ett team som är inriktat på att skaffa sig tillgång till nätverk med ett så kallat implantat med namnet Cyclops Blink. Den anslutningen ska sedan överlämnas till Electrum som brukar ha till uppgift att ställa till stor skada. Kamacite har riktat in sig på infrastruktur i Europa, särskilt Ukraina, och i USA.
Xenotime är en annan lite äldre grupp som fortfarande är aktiv. Den verkar inrikta sig på elproducenter och naturgasföretag i Västasien och USA. Måltavlorna tycks vara noggrant utvalda och hänga ihop. Detta tyder på goda insikter i olje- och gasbranschen, hämtade från källor som inte är allmänt tillgängliga, vilket ger gruppen möjlighet att hitta svaga punkter.
Det var Xenotime som utvecklade Triton. Triton är ett ramverk för skadeprogram. Det kan avväpna säkerhetssystemet Trisis som användes i Saudiarabien 2017. Det innebär att Xenotime är en grupp med bevisad motivation och kapacitet för att förstöra viktig infrastruktur.
Erythrite är en fas 1-grupp. Den använder mindre avancerade tekniker som sökmotorförgiftning och skräddarsydda skadeprogram. Gruppen är inriktad på stöld av data och inloggningsuppgifter. Dess omfattande verksamhet, till stod del inriktad på tillverkningsindustrin, är bekymmersam. Bland målen finns ungefär 20 procent av företagen på Fortune 500-listan, varav de flesta i USA och Kanada. Gruppen är ett särskilt allvarligt hot mot organisationer med bristfällig segmentering mellan administrativ it och operationell it. Allt enligt Dragos.
Slutligen har vi Wassonite. Det är en grupp på fas 1-nivå. Den tycks fokusera på branscher som kärnkraft, olja och gas, avancerad tillverkning, läkemedel och flyg, främst i Syd- och Östasien. Gruppen utnyttjar trojanerna DTrack och Appleseed som ger distansaccess. De sprids genom målinriktat nätfiske som anpassats för specifika branscher och organisationer.
Dragos konstaterar också att gisslanattackerna mot industriföretag ökade med 87 procent förra året. Tillverkningsindustrin var värst utsatt. Lockbit stod bakom de flesta attacker, följt av den numera oskadliggjorda Conti-gruppen, Black Basta och Hive.
Sårbarheter och blinda fläckar
Antalet sårbarheter som specifikt gäller hårdvara för industriella styrsystem ökade med 21 procent från 2021. Men detta ger inte hela bilden, eftersom alla sårbarheter inte är lika viktiga – särskilt inte när det gäller industriella styrsystem.
Dragos har utvärderat sårbarheterna och kommit fram till att 15 procent av dem fanns i utrustning i periferin av företagens nätverk. 85 procent fanns långt inne i styrsystemen. Vidare ledde hälften av dem varken till förlust av insyn eller styrning, medan hälften gjorde det. En allvarlig sak är att i branscher där patchning ofta innebär att driften måste avbrytas och viktig utrustning stängas av föredrar ägarna ofta begränsningsåtgärder. Av de 70 procent av leverantörerna som tillhandahöll patchar var det 51 procent som inte hade några råd om skadebegränsning. 30 procent hade inga patchar, och av dessa saknade 16 procent användbara begränsningsåtgärder.
I 34 procent av leverantörernas dokumentation hittade Dragos felaktiga uppgifter. Det kunde vara fel versionsnummer på mjukvara, fel modell av hårdvara och så vidare. Företaget bedömer att klassningen av hotbilderna borde ha varit högre i 70 procent av fallen och lägre i 30 procent av fallen.
Den goda nyheten gäller Dragos riskbedömning, Den delar in sårbarheterna i patcha genast, patcha i nästa omgång och strunta i det. Och bara två procent hamnar i kategorin patcha genast. Hela 95 procent kan vänta till nästa underhållscykel. Skadebegränsning kan under tiden ske genom nätverkssegmentering, övervakning och kanske även med multifaktorautentisering (MFA). Tre procent av sårbarheterna är antingen överdrivna eller helt enkelt fel.
Enligt de säkerhetsbedömningar som företaget har gjort är det vanligaste problemet att det saknas insyn i styrsystemsmiljön. Hela 80 procent av kunderna har begränsad inblick i driftsmiljön. Men detta är en minskning med 6 procent från förra året, så det har blivit bättre. Hälften av kunderna hade problem med nätverkssegmentering – en minskning med 27 procent. 53 procent hade okända eller oreglerade anslutningar till sina driftssystem, en minskning med 17 procent från året före. Ett område som tycker försämras är bristen på avgränsning mellan administrativ it och industriell it. Det saknas i 54 procent av alla organisationer, 10 procent mer än 2021.
– Det är en sak som vi kan se i tonvis med gisslanprogramfall. Gisslanaktörerna angriper it-systemet, sprider gisslanprogrammen genom Active Directory – och sedan hamnar det i det industriella styrsystemet på grund av att det finns delade inloggningsuppgifter. Trots att detta inte var ett direkt mål, säger Lee.
Ett av de mest bekymmersamma rönen är att 80 procent av de granskade företagen fortfarande saknar inblick i sina industriella styrsystem. Och det är 80 procent av företag som får räknas som tämligen mogna – de anlitar tjänster av företag som Dragos. Totalt sett är siffran troligen högre.
– Om du inte vet vad du har, om du inte vet vad du har för utrustning, hur de är sammankopplade, vem som är ansluten till dem, så kommer du aldrig att kunna analysera fram grundorsaken, förstå vad som blev fel eller upptäcka fiender, säger Lee:
– Och när 80 procent i genomsnitt inte kan göra det alls – när det gäller kritisk infrastruktur och rörledningar i landet – så är det givetvis anledning till oro.