2014-08-28 08:38

Norska NorCERT har gått ut med varning om riktade attacker mot norska elföretag och oljebolag!

Myndigheterna i Norge har i dagarna gått ut med riktade varningar till runt 300 organisationer i Norge inom el- och oljebranscherna. Varningen handlar om att man konstaterat attacker mot 50-talet norska el och oljebolag. Enligt mediarapportering så har Statoil och StatNett sagt sig vara bland av de attackerade. 

Den 27e augusti har norska myndigheterna också gått ut offentligt med varningar via NSM (nasjonal sikkerhetsmyndighet) och NVE (Norges

vassdrags- og energidirektorat). Enligt dessa varningar så bestod attackerna i elektronisk post riktad till personer i 50-talet organisationer. E-posten hade länkar till webbplatser med skadlig kod, alternativt bilagor i e-posten med medskickade filer som var smittade av skadlig kod. Den mottagare som klickade på länkarna eller öppnade bilagan riskerade att få sin dator infekterad. Detta, som ibland också kallas phisingattacker med en fackterm, är ett vanligt sätt att attackera människan bakom tangentbordet. Den mänskliga faktorn är ofta den svaga länken, då ett tillräckligt brett utskick säkert kommer resultera i ett resultat där någon av mottagarna omedvetet faller för upplägget. 

De norska myndigheterna går också ut med allmänna tips på hur man skyddar sig mot dessa angrepp. Bland skydden finns naturligtvis en grundläggande säkerhetskultur inom organisationen och ett gott säkerhetsmedvetande hos anställda, som förstår risker med att använda IT-baserade tjänster. Likaledes är det viktigt att alla personer har en uppmärksamhet om att detta inte bara är teoretiska hot utan att det faktiskt pågår angrepp, angrepp som kan vara mot en enstaka person, ett utvalt företag eller mot hela branscher. 

Tidigare i somras kom det rapporter från säkerhetsföretags och mediahåll om angrepp mot elbolag i västeuropa och nordamerika. Då framkom det att en ny typ av skadlig kod, under benämningarna Dragonfly eller Energetic Bear har använts liknande sättet i Norge för att angripa olika företag.

Där innehöll e-posten länkar till webbplatser som automatiskt nedladdade skadlig kod till de som besökte den. Det intressanta med Dragonfly var att den sökte efter, och om den fann, infekterade programvara som används för automation - industriella kontrollsystem. Efter en lyckad infektion så möjliggjorde programvaran att en obehörig fick fjärrkontroll och kunde fjärrstyra en infekterad dator. Som alla kan förstå, så kan detta vara katastrofalt om den angripna datorn sköter en känslig fysisk process, exempelvis i ett vattenkraftverk, ett reningsverk eller liknande. Enligt den information som hittils publicerats om Dragonfly så har inte Norge eller norska bolag varit bland de drabbade. 

Helt vid sidan om dessa norska myndighetsvarningar och varningar om Dragonfly så publicerades det under samma tidsrymd i Sverige mediarapporter om att allmänna säkerhetsundersökningar av svenska organisationer visat sig att nio av tio organisationer hade konstaterats vara drabbade av skadlig kod. Revisionsfirman KPMG tillsammans med säkerhetsföretaget FireEye har granskat 14 större organisationer med i genomsnitt 50000 anställda inom företag och offentliga myndigheter. Det konstaterades att hos 13 av dessa kunde man via nätverksanalys konstatera att skadlig kod på datorer i organisationernas nätverk "ringde hem". Detta att "ringa hem" är ett sätt för angreppsprogrammen att antingen föra ut stulen information eller att de kontaktar såkallade "Command and Controll"-servrar varifrån man kan få nya instruktioner om hur programmet skall bete sig.

Sammantaget kan man se att vi lever i en tid, och vi använder tekniska stödverktyg, som ökar riskerna mot våra verksamheter, våra organisationer och våra IT-resurser - både informationen självt samt våra IT-system. Detta är något som har konstaterats gång efter annan.

Man skulle kunna prata om en trendspaning. Just nu konstateras det via angrepp mot vår bransch i ett grannland, att det har varit en ökande mängd med angrepp i västeuropa där angreppen slår mot just ICS-system, eller vid en sammanställning av säkerhetsgenomgångar hos svenska organisationer. Om inte tidigare, så borde detta vara tillräckligt med belägg att problemen måste tas på allvar.

Läs mer hos

Norska NorCERT/NSM
https://www.nsm.stat.no/aktuelt/varsler-om-datainnbrudd/

Norska NVE
http://www.nve.no/no/Nyhetsarkiv-/Nyheter/Trusselen-om-dataangrep-pa-energiforsyningen-tas-pa-alvor/

Norska IDG skriver om det i en artikel idag:
http://www.idg.no/computerworld/article289808.ece

http://www.dn.no/nyheter/energi/2014/08/27/2158/Statoil/sto-imot-tre-dager-langt-dataangrep

Nyhetsinslaget på engelska
http://www.newsinenglish.no/2014/08/27/oil-industry-under-attack-by-hackers/

Artikel i Svenska Dagbladet om KPMGs säkerhetstester i Sverige http://www.svd.se/naringsliv/digitalt/det-stora-it-hotet-mot-samhallet_3854990.svd

Teknisk artikel hos Symantec om Dragonfly http://www.symantec.com/connect/blogs/dragonfly-western-energy-companies-under-sabotage-threat

Arkiv