Skriv ut

Säkerhetsexperter på företaget ESET tror sig ha hittat spår av programvaran som saboterade Ukrainas kraftnät i fjol. Det attackerar industriella standardprotokoll. 

Om du utnyttjar någon av följande protokoll för styrning så är dina system sårbara för ett nyupptäckt sabotageprogram: IEC 60870-5-101, IEC 60870-5-104, IEC 61850, och OPC DA.

ESET kallar programpaketet för Win32/Industroyer. Här finns bakdörrar, ett operativsystem och fyra komponenter som attackerar styrsystem enligt varsin standard.

En del av koden är extra anpassad för specifika komponenter från ABB och Siemens.

Komponenterna kan styra omkopplare och kretsbrytare. De kan därmed potentiellt bryta driften och även sabotera utrustning. De har också möjlighet att överbelasta utrustning så att den inte går att komma åt.

Protokollen är gamla och konstruerades utan några större tankar på säkerhet, enligt ESET. Så sabotagekoden är enkel – den skickar helt enkelt vanliga kommandon för att styra driften.

Det finns inga bevis på att det var Win32/Industroyer som bröt strömmen i Kiev under en timme den 17 december i fjol – programmet raderar spåren efter sig – men forskarna på ESET anser att det är troligt.

Något som stärker misstanken är att datumet den 17 december 2016 finns loggat i koden.

Protokollen som stöds används inte bara inom kraftindustrin utan också inom transport och inom annan infrastruktur för distribution, av  exempelvis gas och vatten.

– Sabotagekoden kan göra stor skada mot kraftsystem och skulle också kunna anpassas för att attackera annan kritisk infrastruktur, skriver en av experterna.

Programmerarna har enligt ESET uppenbar erfarenhet av industriella styrsystem. En del av attackkoden – bland annat en så kallad portscanner som letar efter offer i lokalnätet – är egenutvecklad, trots att det finns alternativa standardkomponenter.

En annan mer känd cyberattack mot Ukraina den 23 december 2015 genomfördes av ett helt annat sabotageprogram kallat BlackEnergy. Det slog ut strömmen för 250 000 hushåll i Ukraina.