(Bilde: Shutterstock / illustrasjonsfoto)

Slik tar hackerne over styringssystemer til kraftverk, sykehus og industri

Se hvordan ny løsning bruker debuggingsmodusen i Intel-prosessorer for å avsløre inntrengningsforsøk.

Ifølge en ny sikkerhetsrapport fra Check Point ble det funnet mer skadelig programvare i 2014 enn i de foregående 10 årene sammenlagt. Det mye av skadevaren har til felles, er at formålet gjerne er å stjele data. Mye av skadevaren er også skreddersydd for bestemte formål og for å få tak i sensitiv informasjon fra bedrifter.

Christian Sandberg i Check Point.
Christian Sandberg i Check Point. Foto: Kurt Lekanger, Tek.no

Skal vi tro sikkerhetsrapporten besøkte 86 prosent av de undersøkte bedriftene skadelige nettsteder og 83 prosent av organisasjonene var infiserte av boter. Ved å analysere nettverkstrafikken fra mer enn 3000 bedrifter i 2014 fant Check Point ut at 41 prosent av bedriftene lastet ned minst en infisert fil med ukjent skadevare – altså skadelig programvare som vanligvis ikke oppdages av antivirusprogrammer. 

Nå advarer selskapet mot programvare som er målrettet mot bedrifter for å stjele informasjon.  

– Det er lettere å få tak i digitale våpen enn fysiske våpen. Mye av kriminaliteten flytter seg over til den digitale verden. Det er jo nesten ikke bankran lenger, sier sikkerhetsekspert Christian Sandberg i Check Point.

Han mener veldig mange bedrifter er opptatt av hvordan de skal få fjernet skadevare, men ikke så mye om hvordan de skal forhindre å bli infisert i det hele tatt.  

Kan føre til tap av menneskeliv

Det er ikke bare innenfor industrispionasje at skadevare kan være et problem. Innenfor blant annet industri, kraftverk og sykehus brukes ofte styringssystemer som går under fellesbetegnelsen SCADA – Supervisory Control And Data Acquisition. Dette er ofte veldig gamle systemer som før gikk over dedikerte kabler og proprietære løsninger. I dag går imidlertid det meste over IP – siden man gjerne vil benytte eksisterende infrastruktur for å kontrollere dem. Det gjør dem samtidig mer utsatt.

Nylig meldte Dell, som leverer brannmurløsningene Dell SonicWALL, om en dobling i antallet angrep mot SCADA-systemer i 2014 i forhold til 2013. De fleste av angrepene skjedde ifølge Dell i Finland, Storbritannia og USA – antagelig fordi SCADA-systemer er veldig vanlig i disse regionene. I Finland var det 202 322 SCADA-angrep, mot 69 656 i Storbritannia og 51 258 i USA.

Christian Sandberg viser hvordan skadelig kode i et infisert PDF-dokument kan få en lyspære til å blinke, selv om PC-en er koblet til lyspærens styringsenhet via VPN.
Christian Sandberg viser hvordan skadelig kode i et infisert PDF-dokument kan få en lyspære til å blinke, selv om PC-en er koblet til lyspærens styringsenhet via VPN.

Ifølge Nasjonal Sikkerhetsmyndighet (NSM) ble olje- og energisektoren i august 2014 rammet av ett av de mest omfattende dataangrepene det året, og da NSM varslet selskapene om angrepene var det avdekket over 50 forsøk på dataangrep. Angrepene kom i første rekke i form av e-poster med infiserte vedlegg.

– Når det først skjer noe i et SCADA-system, så får det som regel mye større konsekvenser enn om et annet system angripes. Disse systemene overvåker som regel noe veldig viktig sier Sandberg.

Han mener at angrep på SCADA-systemer fort kan føre til tap av menneskeliv. Han nevner blant annet et stålverk i Tyskland som gikk ned i fjor, og også angrep på sykehussystemer, hvor det bare har vært flaks at ikke menneskeliv har gått tapt.

Mange som bruker SCADA-systemer tror de ikke har koblinger mellom SCADA-systemene og bedriftens øvrige nettverk, men i praksis viser det seg ofte at de har det likevel. SCADA-systemene er gjerne koblet til systemer som gjør det mulig å få ut rapporter, eller man trenger tilgang for eksempel for å få utført vedlikehold. Mange bruker VPN til dette, og tror det er sikkert.

– VPN er ikke sikkert, sier Sandberg.

Han demonstrerer dette ved å vise hvordan han kan styre en lyspære som er koblet til en såkalt PLS – et styringsrele med Ethernet-tilkobling. PLS-en kan skru av og på strømmen til lyspæren. Via en annen PC i nettverket kobler Sandberg seg til PLS-en via en VPN-tilkobling. Man skulle kanskje tro at angripere dermed ikke ville få tilgang til PLS-en, siden alt foregår via en kryptert forbindelse. 

Skadelig programvare bruker mange metoder for å ikke bli oppdaget av sandkasseløsningene som brukes av moderne antivirusprogrammer.
Skadelig programvare bruker mange metoder for å ikke bli oppdaget av sandkasseløsningene som brukes av moderne antivirusprogrammer. Foto: Check Point.

Men i demonstrasjonen fikk vi se hvordan man kunne åpne et PDF-dokument som var infisert med skadelig programvare, og hvordan denne skadevaren kunne styre PLS-en slik at lyspæren begynte å blinke. 

Poenget var at hvis for eksempel en servicetekniker kobler seg til et SCADA-system via VPN, så er man likevel ikke trygg hvis PC-en som benyttes er infisert. Den skadelige programvaren kan benytte den samme VPN-forbindelsen som brukeren så snart forbindelsen er opprettet. 

– Hva tror du egentlig hadde skjedd hvis man skrudde av og på strømmen i Oslo tre ganger i sekundet, spør Sandberg retorisk.

Han forteller at man kan overvåke løsningene slik at denne typen unormal oppførsel i systemene oppdages.

– Ingen hadde for fem år siden forutsett at du nå kan styre et kraftverk fra en iPhone, sier Sandberg.

Han mener at selv om man har sandkasseløsninger som både Check Point og andre sikkerhetsprodusenter leverer, så er det hele tiden et katt-og-mus-spill. Om man skal angripe et kraftverk eller et industrikonsern, så legger man gjerne mye energi i å få dette til – og før eller siden lykkes angriperne gjerne.

Bruker ny metode for å avsløre angrep

Eksempel på hvordan debug-modusen i nye Intel-prosessorer kan brukes for å oppdage skadelig programvare som benytter såkalt ROP – Return Oriented Programming.
Eksempel på hvordan debug-modusen i nye Intel-prosessorer kan brukes for å oppdage skadelig programvare som benytter såkalt ROP – Return Oriented Programming. Foto: Check Point.

Den mest populære metoden for å lage ondsinnet programvare nå kalles ROP – Return Oriented Programming. Siden XP SP2 har Windows hatt en funksjon som kalles Data Execution Prevention, som gjør at prosessoren kun vil kjøre programkode i minneområder som er merket som kjørbart («executable»). Dermed vil ikke ondsinnet kode kunne kjøre – i teorien. Det angriperne imidlertid kan gjøre er å bruke ROP-teknikken for å gjenbruke små biter av legitim programkode her og der, og sette sammen disse til programkode som kan utføre uønskede operasjoner. Man bruker blant annet begrepet «gadgets», som er en betegnelse på en kort maskinkodesnutt som er etterfulgt av en return-instruksjon. En rekke slike «gadgets» kan så kjedes sammen. 

– Hvis du klarer å finne ut hva slags OS det er, hvilke DLL-er og applikasjoner som kjører i minnet, så kan du lage deg et bibliotek av gadgets, som til slutt kjører den koden du vil. Det er en veldig komplisert måte å gjøre det på som krever relativt mye kompetanse. Men nå finnes det verktøy som lar deg gjøre dette bare ved å trykke på noen knapper, så lager den en exploit for deg, forteller Sandberg.

Han forteller videre at Check Points nyeste sikkerhetsløsninger benytter en teknologi som finnes i Intel-prosessorer fra og med Haswell-arkitekturen for å klare å avsløre denne typen ROP-angrep. Disse prosessorene har nemlig en debugginsmodus som egentlig ble laget for å debugge BIOS-er, men som man også har funnet ut at kan utnyttes for å avsløre programkode som oppfører seg mistenkelig.

Debug-funksjonen lager en tabell over hvordan ting ser ut når CPU-en eksekverer koden i minnet. Når normal programkode kjører, ser tabellen ryddig og fin ut – men når det gjøres en ROP vil man i tabellen se at det kjøres programkode «i hytt og pine» i minnet. 

– Denne tabellen vil aldri se slik ut når det kjøres normal kode i systemet.

Sandberg hevder at denne metoden er veldig vanskelig å lure, siden kontrollen skjer på et så lavt nivå. Funksjonen kalles «CPU-level sandboxing», og krever altså de nyeste generasjonene Intel-prosessorer.

Apple ble nylig varslet om et digert sikkerhetshull:
Valgte å ikke gjøre noe – etter mer enn seks måneder »

Ransomware-program er på ferde igjen:
Nytt virus låser Android-telefoner og krever løsepenger »

Kommentarer (4)

Norges beste mobilabonnement

Mars 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1GB


Jeg bruker middels mye data:

Telio FriBruk 5GB+EU


Jeg bruker mye data:

Komplett MaxiFlex 10GB


Jeg er superbruker:

Komplett MegaFlex 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen