Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
SektorCERT dykker med rapporten ”Angrebet mod dansk, kritisk infrastruktur” ned i det nyligt afværgede cyberangreb mod dansk kritisk infrastruktur.
Angrebet skete via Zyxe-firewalls, og man mener, at gruppen Sandworm står bag.
Det er vel at mærke en APT-gruppe, som fokuserer mere og mere på hurtige og smidige cyberangreb.
Antagelser om Sandworm
Sandworm er en velkendt hackergruppe, der med stor sandsynlighed er en afdeling under den russiske militære efterretningstjeneste GRU.
Gruppen er kendt for blandt andet BlackEnergy-angrebet i Ukraine i 2015, hvor det lykkedes at afbryde et antal transformerstationer i det ukrainske elnet ved at hacke et kontrolcenter.
BlackEnergy-angrebet var kendetegnet ved specialudviklet modulær malware, som det har taget meget lang tid at udvikle og målrette.
Derfor har det længe været antagelsen, at cyberangreb som metode til at forstyrre eller ødelægge kritisk infrastruktur er en dyr, upålidelig og langsom affære i forhold til for eksempel at angribe infrastrukturen med kinetiske våben.
Derfor er det heller ikke anset som en stor risiko.
I lyset af et par nylige angreb i Ukraine og det beskrevne angreb på Zyxel-firewalls i kritisk dansk infrastruktur, er det på høje tid at tage disse antagelser op til revision.
Hurtigere, smartere og sværere at forhindre
Mandiant har for nyligt beskrevet et angreb på det ukrainske elnet mellem juni 2022 og 12. oktober 2022.
Her lykkedes Sandworm med at kompromittere et ukrainsk elnetselskab ved at installere en webshell på en internetvendt server og derigennem etablere en C2-tunnel.
Herefter var Sandworm i stand til at lokalisere en hypervisor, som kørte en virtuel maskine med SCADA-kontrolsoftwaren MicroSCADA, der styrer elnetselskabets transformerstationer via protokollerne IEC 104 og IEC 101.
Sandworm var i stand til at udnytte hypervisoren til at montere en iso-fil med et autorun-script, der sendte kommandoer til MicroSCADA-systemet ved hjælp af et officielt hjælpeværktøj til MicroSCADA kaldet scilc.exe.
Disse kommandoer afbrød transformatorstationerne.
Den pågældende hypervisor var konfigureret til at eksekvere autorun scripts på monterede iso-filer som standard.
Der er tre ting ved dette angreb, der er højest bemærkelsesværdige.
1) Der indgår ikke noget malware rettet mod OT-systemerne. Det hele er kreativ anvendelse af standardsoftware og standardfunktioner. En fremgangsmåde, der ofte benævnes ”Living of the land”.
2) Det har sandsynligvis taget Sandworm under to måneder at udvikle angrebet på OT-systemerne, vel og mærke i en efterretningstjeneste, hvor der formodentlig er usædvanligt travlt på grund af GRU’s direkte involvering i krigen mellem Rusland og Ukraine.
3) Sandworm går op i at slette deres spor. F.eks. med wiperen CaddyWiper.
Dette fund gør det angreb, SektorCERT beskriver i rapporten ”Angrebet mod dansk, kritisk infrastruktur” endnu mere alarmerende.
Angrebet i Danmark var målrettet, og aktøren gjorde sig umage med ikke at blive opdaget ved kun at sende én kompromitterende pakke til de involverede routere. Det viser, at aktøren har haft tid og ressourcer til at være omhyggelig og til at koordinere sit angreb.
Nu lykkedes det heldigvis at opdage angrebet på grund af et veludbygget sensornet og nogle vågne medarbejdere.
Hvis vi antager, at aktøren var lykkedes med at få fodfæste i kritisk infrastruktur, og brugte samme strategi som den Mandiant har beskrevet, ville det være et spørgsmål om måneder og ikke år før en aktør sandsynligvis ville være i stand til, helt bogstaveligt, at slukke for strømmen.
Almindelige ”fire and forget” beskyttelsesmekanismer, der ofte er i brug, som for eksempel antivirusklienter, er ude af stand til at forhindre et angreb som det beskrevne – da der ikke er noget malware.
Detektering er en nødvendighed
Malwaren fra BlackEnergy-angrebet, og det efterfølgende Crashoverride angreb i 2016, dukker op fra tid til anden.
F.eks. blev malwaren fra Industroyer2-angrebet i Ukraine i 2022 genkendt af nogle antivirusklienter, da den genbruger nogle få komponenter fra Crashoverride-malwaren, også kendt som Industroyer.
Men i det seneste angreb i Ukraine, er der ikke nogen malware, så der er ikke noget at genkende, og ikke noget en antivirusklient kan blokere.
En vigtig læresætning i cybersikkerhedsverdenen er: ”Prevention is ideal, but detection is a must.”
SektorCERTs arbejde viser også, at detektering er altafgørende. For at forebygge angreb er vi nødt til at opsamle logs i uafhængige systemer som et SIEM.
Vi ved at Sandworm går op i at slette deres spor, så vi er også nødt til at have noget uden for systemerne, der opsamler loggen, så vi kan stole på, at den ikke er forfalsket.
Når der ikke er nogen malware, er vi nødt til at interessere os for, hvad systemerne normalt gør, og hvornår de gør noget, de ikke plejer. Derfor er logopsamling vigtigt.
Vi er nødt til at opsamle logs fra både end-points, netværket og centrale servere. Og vi er nødt til at designe vores net og processer, så de er til at forsvare.
Vi skal bruge et godt udgangspunkt for at bygge og vedligeholde ”hygiejniske” systemer.
Her er CIS’ 18 kritiske kontroller, der opsummerer 30 års best practice, et godt udgangspunkt.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.