Energiateollisuus ja kyberhyökkäys – kuvittele, että työntekijäsi klikkaa sähköpostissa linkkiä, joka päästää hyökkääjät verkkoosi. Kuvittele, ettet pystyisi tuottamaan energiaa, menettäisit järjestelmiesi hallinnan, ja olisit täysin lunnasrahoja kärkkyvien hakkereiden armoilla, tai vieraan vallan poliittisena pelinappulana. Mitä tekisit?
”Vakoilu- ja sabotaasihyökkäykset kriittisen kansallisen infrastruktuurin kohteisiin ovat lisääntyneet vuosien mittaan, enkä millään usko, että ne loppuisivat”, sanoo F-Securen tietoturvatutkija Sami Ruohonen.
Joukko erilaisia toimijoita, joista jokaisella on omat motiivinsa ja tekniikkansa, pyrkii jatkuvasti hyökkäämään organisaatioihin, jotka pyörittävät kriittistä infrastruktuuria. Suurimmat riskit aiheutuvat rahaa havittelevien rikollisten tai kansallisvaltioiden geopoliittisilla tavoitteilla tekemistä hyökkäyksistä.
Kyberhyökkääjillä on yhä kehittyneempiä työkaluuja
Shadow Brokers- ja Vault7-tietomurtojen jälkeen kyberhyökkääjät ovat saaneet käsiinsä kehittyneempiä työkaluja. He ovat myös muuttaneet toimintatapojaan. Rahanpesumenetelmät ovat myös uudistuneet merkittävästi, mikä osaltaan lisää kiristysohjelmien suosiota.
Kansallisvaltioiden kyberhyökkäyskeinot ovat yhä paremmin myös muiden hakkeriryhmien käytettävissä. Siten ne voivat tehdä vastaavia hyökkäyksiä kuin valtioiden tukemat Advanced Persistent Threat -ryhmät (APT). Vuoden 2013 tienoilla aktiivisena ollut CryptoLocker oli yksi ”tuottoisimmista” ransomware-kampanjoista. Se tartutti yli 250 000 tietokonetta kyseisen vuoden viimeisen neljän kuukauden aikana. Sitä levittäneet hakkerit nettosivat yli 3 miljoonaa dollaria ennen kuin CryptoLockerin levittämiseen käytetty Gameover ZeuS -botnet suljettiin.
CryptoLockerin menestys poiki useita seuraavan sukupolven kiristysohjelmia, kuten CryptoWallin ja TeslaCryptin. Yksi viimeisimmistä haittaohjelmista on LockerGoga, joka kryptasi suuren osan Norsk Hydron tietokoneista päästyään sisälle järjestelmään. Norjalaisen, kansainvälisesti toimivan alumiinituottajan uudistuvan energian tuotanto ei sentään joutunut LockerGogan hyökkäyksen uhriksi.
APT-ryhmät yrittävät jatkuvasti päästä sisälle CNI-verkkoihin löytääkseen vakoilumahdollisuuksia, jotka tarjoavat poliittisia vaikutuskanavia. Valtiolliset hakkerit ovat ammattilaisia ja voivat käyttää hyökkäyksen tekoon vuosia, kertoo F-Securen ja Counterceptin uusi tutkimus.
Energiateollisuuteen kohdistuvia hyökkäyksiä tai haittasovelluksia on selkeästi yhdeksän erilaista:
- Operation Sharpshooter (Lazarus Group)
- APT33
- GreyEnergy (BlackEnergy-ryhmän seuraaja)
- BlackEnergy 1-, 2- ja 3 -haittaohjelmat
- Industroyer Malware – tunnetaan myös nimellä CrashOverride
- Dragonfly/Dragonfly 2.0
- Havex Malware
- ICS-hyökkäykset
- TRITON/TRISIS-haittaohjelma
Aika on hyökkääjien puolella
“The State of the Station: A report on attackers in the energy industry” -raportti painottaa myös sitä, että APT-ryhmät tutkivat kohteensa perusteellisesti. Hyökkääjillä on käytössä enemmän aikaa kuin kohteillaan ja he voivat suunnitella kyberhyökkäystään kuukausikaupalla. He pyrkivät tunnistamaan, ketkä työntekijöistä ovat helpoin kohde social engineering -hyökkäyksille, ja testaavat, ovatko ohjelmistojen yleisesti tunnetut reiät paikkaamatta.
Ihmiset ovat ketjun heikoin lenkki, joten yritysten työntekijät näyttävät olevan kyberrikollisten yleisin hyökkäyskohde. Heitä lähestytään haittalinkkejä sisältävillä, kohdistetuilla kalastelumeileillä (spear phishing), sen sijaan että haittaohjelmia lähetettäisiin perinteisesti meilin liitteinä. Käyttäjien pitäisi siten joko ladata haittaohjelma tai kirjautua kalastelua varten rakennetuille sivuille. Sen jälkeen hyökkääjät siirtyvät nopeasti tuotantoverkkoon ja siitä ICS-verkkoon. Toinen huomattava viimevuoden trendi oli sähköpostiin perustuvien haittaohjelmien leviäminen älypuhelinten kautta, jolloin puhelimessa avattu sähköposti antoi hyökkääjälle pääsyn yhtiön sisäisiin verkkoihin tai puhelimeen tallennettuihin arkaluonteisiin tietoihin.
“Kriittinen infrastruktuuri on aina kiinnostava kohde vieraalle valtiolle, myös rauhan aikana”, Ruohonen sanoo.
Merkittävä määrä käytössä olevista ICS-järjestelmistä on otettu käyttöön ennen kuin kellon ympäri toimivat nettiyhteydet olivat arkipäivää. Stuxnet-haittaohjelmasta ei ollut tuolloin tietoakaan ja järjestelmistä puuttuu joko kokonaan tai osittain nykyään itsestään selvinä pidetyt tietoturvaominaisuudet. Siten on vain ajan kysymys, milloin verkko hakkeroidaan. Energiateollisuutta vastassa on näkymätön ja viekas vihollinen, jolla on monitahoiset motiivit ja käytössään laaja valikoima taktiikoita, tekniikoita ja prosesseja (TTP:t).
Mitä organisaatiot voivat tehdä asialle?
Organisaatiot eivät kuitenkaan ole voimattomia, ja niillä on käytettävissä vastakeinoja, kuten VUCA. Tämä USAn armeijan käyttämä lyhenne tulee sanoista volatility, uncertainty, complexity ja ambiquity eli vaihtelevuus, epävarmuus, monimutkaisuus ja moniasemaisuus – termi oli käytössä kylmän sodan jälkeisenä aikana. Lyhyesti VUCA viittaa energiateollisuuden yhteydessä siihen, että yritysten tulee tarkastella, mitkä ulkoiset tekijät ovat organisaatiolle uhka, kuka voisi kohdistaa hyökkäyksen sitä vastaan, miksi ja miten. Lisäksi niiden pitää tunnistaa, mitkä it-infrastruktuurin osat ovat niin kriittisiä, että tarvitsevat suojakseen turvallisuusstrategian.
Vaikka hyökkäykset ovat pysyvä ilmiö, opastaa Ruohonen energiateollisuuden organisaatioita pohtimaan tietoturvansa tilaa sekä harkitsemaan nykyaikaisten teknologioiden, kuten EDR-ratkaisun (endpoint detection and rescue) käyttöönottoa.
EDR sopii erityisesti yrityksille, jotka eivät halua palkata täysipäiväistä kyberturvayksikköä.
”EDR on nopea tapa havaita ja reagoida kehittyneisiin uhkiin ja kohdennettuihin hyökkäyksiin, jotka saattavat läpäistä perinteiset tietoturvaratkaisut. Hallittu EDR -ratkaisu tarjoaa muun muassa ympärivuorokautisen monitoroinnin, hälytykset ja reagoinnin. Organisaatioiden IT-osastot voivat valvoa havaintoja normaaliin työaikaan ja asiaan erikoistunut tietoturvatiimi huolehtii lopusta”, sanoo Ruohonen.
Kategoriat