U

Home » Nyheter » Industroyer – det senaste i raden av IT-säkerhetshot. Skulle Sverige klara sig?

Industroyer – det senaste i raden av IT-säkerhetshot. Skulle Sverige klara sig?

 

Vem är det egentligen som stänger ner vår energiförsörjning?

På de flesta områden försöker vi lära oss av våra misstag. Det är dags att tillämpa denna princip även på cybersäkerhetens område. Naivitetens tid är förbi. Åtgärda grundproblemet istället för lappa och laga med tillfälliga lösningar.

Nyligen presenterades en analys av ny skadlig kod. Just denna kod sägs ha förmågor som gör den särskilt lämpad för attacker mot kritisk infrastruktur.

Ingen borde bli överraskad längre över att denna typ av hot presenteras då och då. Stuxnet och Edward Snowdens publiceringar har gjort existensen av denna typ av hot till allmän kunskap.

Även om det är en ny variant av hot som presenteras är det inte särskilt revolutionerande. Funktioner med styrkanaler, uppdaterings- och spridningsfunktioner får numera betraktas som standardfunktioner. Att Industroyer är uppbyggt så att det finns moduler för att direkt styra med hjälp av industriprotokoll är det enda som är i någon mån nytt. Möjligheten som sådan är ingen överraskning för branschen.

Så länge vi fortsätter att lista bara de otillåtna programkoderna (blocklisting) är det som att leta efter en nål i en höstack. Vi vet med stor säkerhet att det kommer att komma nya hot i morgon som vi kommer att åka dit på – eftersom vi inte åtgärdat den underliggande sårbarheten.

Det är dags att tänka om när det gäller den kritiska infrastrukturen. Genom ett paradigmskifte – att istället lista bara det tillåtna – blir nästa attack verkningslös.

 

industroyer

 

Vad är Industroyer?

Det är namnet på en skadlig kod som nyligen analyserats av bolaget eset. Läs esets White Paper om Industroyer. Industroyer har även kallats CRASHOVERRIDE av företaget Dragos.

 

Hur fungerar Industroyer?

Koden har funktioner för att gömma sig och att låta dess skapare styra programmet. Dessutom finns moduler för att styra ett antal industriella protokoll. Det är systemets delar som som styrs via protokollen som är det viktiga, inte protokollen i sig.

  • IEC 60870-5-101
  • IEC 60870-5-104
  • IEC 61850
  • OLE for Process Control Data Access (OPC DA)

 

Utöver det finns en inbyggd portscanner och ett denial-of-service-verktyg för en särskild sorts utrustning som används i industriella styrsystem. Som sista funktion finns ett raderingsverktyg som attackeraren kan använda för att försvåra analys i efterhand och lämna helt obrukbara system efter sig.

 

Hur skyddar man sig mot Industroyer?

Analysen av Industroyer saknar i nuläget information om hur koden sprider sig. Därmed finns i dagsläget ingen information om ett eventuellt säkerhetshål som kan täppas till för att undvika infektion. Däremot är Industroyers uppbyggnad kartlagd. Det ger möjlighet för antivirusprogrammen att detektera en infektion. Som alltid är därför rådet att uppdatera operativsystem och antivirusprogramvara för att ha så bra skydd som möjligt.

Relaterade artiklar