9 ganger hackere målrettet cyberangrep på industrianlegg

Cyberangrep på industrianlegg har vidtrekkende konsekvenser. Trusselaktører retter seg ofte mot Industrial Control Systems (ICS) for å utføre disse angrepene som resulterer i fullstendig eller delvis driftsstans av kritiske anlegg, økonomisk tap, datatyveri og helse risikoer.

For å gi en følelse av størrelsen på disse angrepene, her er noen av de største cyberangrepene på industrianlegg i nyere tid som skapte problemer for offentlige og ikke-statlige anlegg.

1. Colonial Pipeline—Ransomware-angrep

I mai 2021, et løsepenge-angrep rettet mot Colonial Pipeline Inc. i USA – noe som gjør at anlegget stopper fullstendig i noen dager. Dette førte til akutt drivstoffmangel, og prisene steg i taket.

Hackere fikk innpass i selskapets nettverk gjennom en sovende virtuelt privat nettverk (VPN) konto som hadde ekstern tilgang til selskapets datanettverk. Selskapet måtte betale løsepenger på 4,4 millioner dollar til hackergruppen DarkSide i bytte mot dekrypteringsverktøyet for å gjenopprette datanettverket.

2. CPC Corp. Taiwan – løsepengevare

I mai 2020 så Taiwans statseide petroleums- og naturgasselskap, CPC Corp, betalingssystemet sitt lammet av et løsepengeprogram.

Trusselaktører brukte en USB-flash-stasjon for å infisere selskapets datanettverk. Selv om det ikke påvirket oljeproduksjonen, presset det CPC Corps betalingskortsystem ut i kaos. Winnti Umbrella, en Kina-tilknyttet gruppe kjent for å målrette programvareselskaper og politiske organisasjoner, er kreditert for angrepet.

I slekt: Hva er ransomware og hvordan kan du fjerne det?

Mens den offisielle uttalelsen fra selskapet ikke nevnte løsepengevare først, senere, en granskingsrapport av Justisdepartementet bekreftet det samme i en forklaringsmelding.

3. Triton (2017) – Skadelig programvare

FireEye, et cybersikkerhetsselskap, avslørte et svært sofistikert skadelig programvareangrep ment å målrette industrielle kontrollsystemer og forårsake fysisk skade på kritisk infrastruktur. Den ondsinnede koden ble levert gjennom et spyd-phishing-angrep.

Ifølge cybersikkerhetsfirmaet ble angrepet støttet av et Moskva-basert teknisk forskningsinstitutt Central Scientific Research Institute of Chemistry and Mechanics (CNIIHM).

Selv om stedet eller målene for angrepet ikke er avslørt, ser det ut til å ha påvirket et kritisk industrianlegg i Midtøsten. På grunn av arten av angrepet som tar kontroll over anleggets sikkerhetsinstrumentsystem, kunne det ha forårsaket en eksplosjon eller utslipp av giftig gass som resulterte i tap av liv.

4. Ukraine Power Grid Hack—Trojan

Kvelden 23. desember 2015 begynte markøren på nettoperatørens dataskjerm å bevege seg av seg selv. Hackere hadde truffet kraftdistributørselskapet Prykarpattyaoblenergo i Ukraina, og deaktivert den ene strømbryteren etter den andre.

Det var et unikt cyberangrep på et strømnett som ble utført med suksess. Like etter var halvparten av befolkningen i Ukrainas Ivano-Frankivsk-region i mørket uten strøm i opptil seks timer. Mens strømmen ble gjenopprettet i løpet av noen timer, tok det måneder før alle kontrollsentralene ble fullt operative igjen.

I slekt: Hva er en fjerntilgangstrojaner?

Dette var et svært sofistikert nettangrep som involverte flere trinn utført til sin perfeksjon etter måneder med planlegging. For det første brukte trusselaktører spear-phishing-metoden for å målrette selskapets IT-ansatte via e-post for å levere BlackEnergy-malware forkledd som et Microsoft Word-dokument.

Vel inne, åpnet trojaneren en bakdør for hackerne som ga ekstern tilgang. Det som fulgte var beslagleggelse av kontrollsystemarkitektur, deaktivering av backup-strømforsyning, DDoS-angrep for å forsinke statusoppdateringer til forbrukere og ødeleggelse av filer lagret på serverne.

Angrepet tilskrives en russisk hackergruppe, Sandworm, angivelig del av landets cyber-militære gruppe.

5. San Franciscos MUNI Hack—Ransomware

I november 2016 hadde San Franciscos MUNI lettbanesystem begynt å gi gratis turer. Nei, det var ikke en velviljegest. I stedet tvang et løsepenge-angrep billettsystemet til å gå offline som et forebyggende tiltak for å beskytte brukerdata.

Trusselaktører krevde 100 Bitcoins ($73 000 på den tiden) som løsepenger for å gjenopprette systemet. Heldigvis hadde jernbanebyrået et system backup-system på plass. Den brukte sikkerhetskopieringsdata for å gjenopprette det meste av det berørte systemet i løpet av de neste dagene, og minimerte angrepets innvirkning.

Mens jernbanebyrået nektet å betale løsepenger, tapte det angivelig opptil 50 000 dollar i uinnkrevde avgifter da systemene kom seg etter angrepet.

6. Shamoon – Skadelig programvare

I 2012, i et av de største cyberangrepene mot industrianlegg, ble oljegiganten Saudi Aramco målet for et malware-angrep. Angrepet ble utført av en gruppe kalt Sword of Justice med et mål om å lamme oljegigantens interne datanettverk.

Shamoon, en modulær skadelig programvare, ble overført via en svindel-e-post til en bedrifts ansatt. Dette modulære dataviruset var rettet mot 32-biters NT-kjerneversjonen av Microsoft Windows, og utslettet nesten 35 000 datamaskiner i løpet av få timer.

Selv om det tok to uker å begrense spredningen, klarte ikke skadevaren å stenge hele oljestrømmen, og klarte ikke å nå målet helt.

7. Stuxnet—orm

Stuxnet ble utpekt som verdens første digitale våpen og var et dataorm angivelig utviklet av det amerikanske NSA (National Security Agency) og den israelske etterretningen for å målrette Irans atomanlegg. I motsetning til noe før, var den i stand til å lamme maskinvaren ved å brenne seg ut.

Hacket ble oppdaget da inspektørene med Det internasjonale atomenergibyrået, på besøk til et uran anrikningsanlegg i Iran, la merke til en uvanlig feilrate på sentrifugeenheter som er avgjørende for anrikning av uran gass.

Mens Stuxnet-ormen angivelig ble designet for å utløpe i juni 2012, fortsetter annen skadelig programvare basert på dens egenskaper å skape kaos i andre industrielle oppsett over hele verden.

8. Flames – Skadelig programvare

I mai 2012 oppdaget Center of Iranian National Computer Emergency Response Team (CERT) en modulær skadelig programvare kalt Viper. Senere kalte et Russland-basert cybersikkerhetsforskningsselskap Kaspersky det Flame etter en modul inne i den ondsinnede koden.

I likhet med Stuxnet sies Flame også å være et utenlandsk statsstøttet cyberkrigføringsverktøy rettet mot Iran og andre Midtøsten-lands industrielle infrastruktur. I motsetning til førstnevnte som ble designet for å angripe industrielle kontrollsystemer, er Flame en cyberspionasjeorm som sletter sensitiv informasjon fra infiserte datamaskiner.

Andre kjennetegn ved ormen inkluderer muligheten til å slå på det infiserte systemets interne mikrofon og ta opp Skype-samtaler, konvertere en Bluetooth-aktivert enhet inn i et Bluetooth-beacon for å fjerne kontaktinformasjon fra enhetene i nærheten, og muligheten til å ta skjermbilder av aktiviteter på en datamaskin.

Til tross for innsatsen klarte ikke forskere å identifisere opprinnelsen til skadelig programvare. Og det faktum at trusselaktører var flinke nok til å rote sammen kompileringsdatoen for hver modul, gjorde at oppgaven ble enda vanskelig.

9. Bowman Avenue Dam Attack

I 2013 ble Bowman Avenue Dam i Rye Brook målrettet av iranske hackere. Noen tjenestemenn mener dette angrepet var en gjengjeldelse for det massive Stuxnet-angrepet.

Hackeren brøt seg inn i SCADA-systemet (Supervisory Control and Data Acquisition) i New York-demningen ved å utnytte en følsom modemforbindelse.

Selv om det er flere teorier bak intensjonen med angrepet, ville ikke hackerne vært det kunne gjøre noen skade på det tidspunktet fordi sluseporten var manuelt koblet ut for vedlikehold.

Etter etterforskningen hadde FBI frigitt navnene på de syv Iran-baserte hackerne anklaget for konspirasjon for å begå datainntrenging.

Bransjesektorene har høy risiko for ødeleggende cyberangrep

Trusselaktører flytter i økende grad fokus fra informasjonsteknologi til operasjonell teknologi. Dette setter den kritiske industrielle infrastrukturen som eies av staten og private enheter i høy risiko for destruktive nettangrep som kan forårsake tap av liv og alvorlig økonomisk skade.

Forutsigbart oppfordrer regjeringer over hele verden private enheter til å herde forsvaret av kritisk infrastruktur – mens de tar skritt for å forbedre nasjonal cyberspace-sikkerhet.

De 8 mest beryktede malware-angrepene gjennom tidene

Kunnskap er din første forsvarslinje, så her er noen av de verste virusene du trenger å vite om, inkludert trojanere, ormer og løsepengeprogramvare.

Les Neste

Om forfatteren