Hur fungerar cyberattacker mot rörledningar och andra industriella installationer?

Det är ingen nyhet att många stora tekniska institutioner har drabbats av den ena cyberattacken efter den andra. Men en cyberattack mot operativ teknik för industrianläggningar som rörledningar och kraftverk?

Det är djärvt och förödmjukande. Och det är inget skämt när det slår till. Sådana attacker, om framgångsrika, stoppar industriell verksamhet och påverkar negativt de människor som är beroende av den utsatta industrin. Ännu värre, det kan lamslå en nation ekonomiskt.

Men hur fungerar cyberattacker på rörledningar och andra industriella installationer? Låt oss gräva in.

Varför cyberattacker händer i industriella installationer

För de flesta av oss är det inte vettigt hur och varför någon skulle få chansen att starta en digitalt orkestrerad cyberattack mot en mekaniskt driven industrianläggning.

Tja, i verkligheten ser vi nu att artificiell intelligens, maskininlärning och mer digital teknik tar över mekanisk och till och med teknisk drift i industrianläggningar. Som sådan finns deras operativa data, logistisk information och mer nu på internet och är mottagliga för stöld och attack.

Det finns många anledningar till att cyberattacker blir allt vanligare på industriella installationer som rörledningar, kraftverk, vattenförsörjningsstationer, livsmedelsindustrier och liknande.

Oavsett motivet kommer det sannolikt att falla under en av följande kategorier.

1. Politiska, ekonomiska och affärsmässiga motiv

Ur ett affärsperspektiv hackar angripare ibland ett industrisystem för att få information om kemiska formuleringar, varumärke, marknadsstorlek, tekniska och affärsplaner och så vidare. Detta kan komma från ett konkurrerande företag eller de som tänker starta upp.

Men politiken spelar också en roll. Statssponsrade cyberattacker har vanligtvis för avsikt att lamslå ett annat lands ekonomiska infrastruktur för att visa sitt lands styrka och förmåga. Ett av sätten att uppnå detta är att störa processer i industrier som driver ett offerlands ekonomi. Och det har rapporterats om ett par av dem här och där.

2. Ekonomiska motiv

Detta är en av de vanligaste orsakerna bakom cyberattacker. Angripare kan hacka sig in i ett industrisystem av flera ekonomiska motiv, allt från hämtning av kreditkortsinformation till att stjäla finansiell information.

De uppnår vanligtvis detta genom skadlig programvara eller trojaner, så att de kan utnyttja systemet oupptäckt. Väl inne kan de hämta data om tekniska processer. Hackaren kan sedan erbjuda informationen de stal på den svarta marknaden till alla intresserade.

Ett annat sätt de kan tjäna pengar är genom injektion av ransomware, där angriparna krypterar målets data och sedan säljer lösenordet för en rejäl summa.

Relaterad: Vad är Ransomware och hur kan du ta bort det?

Det finns också distribuerade överbelastningsattacker (DDoS), där flera infekterade datorer samtidigt får tillgång till ett måls webbplats, och därför överväldigar deras system. Detta förhindrar kunder från att nå ut till nämnda företag tills de stoppar attacken.

Hur fungerar dessa cyberattacker? Anmärkningsvärda exempel

Nu när du har sett de framträdande orsakerna bakom cyberattacker mot industrianläggningar. Låt oss få insikt i hur det fungerar från dessa anmärkningsvärda exempel.

1. Den koloniala rörledningen

Colonial Pipeline flyttar dagligen cirka 3 miljoner fat petroleumprodukter inom USA. Det är den största bränsleledningen i USA. Naturligtvis skulle man kunna föreställa sig svårigheten att hacka ett så komplext system.

Men det otänkbara hände. Nyheter om dess hack skapade rubriker under hela maj 2021, då president Joe Biden utropade undantagstillstånd på grund av brist på flygbränsle och panikköp av bensin och eldningsolja. Detta var efter att rörledningen stängde av all verksamhet på grund av cyberattacken.

Hur förlamade hackare Colonial Pipeline-verksamheten? Via ransomware. Spekulationer var att angriparna hade varit inom rörledningens nätverk i veckor obemärkt.

Efter att ha kommit åt rörledningens nätverk med hjälp av en personals läckta lösenord och användarnamn som finns på mörkt nät, injicerade angriparna skadlig programvara i pipelinens IT-system, krypterade deras faktureringsnätverk och höll dem som gisslan. De gick sedan vidare för att stjäla cirka 100 gigabyte data och bad om en lösensumma som betalades i Bitcoin i utbyte mot dekryptering.

Hur läckte nämnda användarnamn och lösenord på den mörka webben? Ingen var säker. Men en möjlig boven är nätfiske, riktat mot en personal från Colonial Pipeline.

Relaterad: Vem låg bakom den koloniala pipelineattacken?

Även om den här attacken inte påverkade digitalt styrda mekaniska system, kunde ransomwarens effekt ha varit mer förödande om Colonial Pipeline riskerade ytterligare operationer trots cyberattacken.

2. Oldsmar vattenförsörjningssystem (Florida)

När det gäller Oldsmars vattenförsörjningssystem tog hackarna virtuell kontroll över den kemiska reningsinfrastrukturen genom TeamViewer, en skärmdelningsprogramvara som används av det tekniska teamet.

Väl inne gick angriparen rakt in i anläggningens behandlingskontrollsystem och höjde nivån av natriumhydroxid tillsatt till vattnet till en giftig nivå - exakt från 100 till 11 100 delar per miljon (ppm).

Hade vakthavande personal inte märkt denna löjliga ökning av kemikalienivån och sänkt den till det normala, menade hackarna att begå massmord.

Hur fick dessa angripare TeamViewer-uppgifter för att komma åt gränssnittet människa-maskin på distans?

De måste ha utnyttjat två sårbarheter i Oldsmars kontrollsystem. Först använde all personal samma TeamViewer-ID och lösenord för att komma åt det hackade systemet. För det andra var systemets mjukvara föråldrad eftersom den fungerade på Windows 7, vilket Microsoft sa är mer sårbart för attacker med skadlig programvara på grund av upphört stöd.

Hackarna måste antingen ha brutit forcerat in eller sniffat det föråldrade systemet med skadlig programvara.

3. Ukrainska kraftstationer

Ungefär 225 000 människor kastades in i mörkret efter att det ukrainska elnätet drabbades av en cyberattack i december 2015. Den här gången använde angriparna BlackEnergy, en mångsidig skadlig programvara för systemkontroll, för att uppnå sitt mål.

Men hur hittade de ett sätt att injicera denna skadliga programvara i en så stor industriell installation?

Hackarna hade tidigare lanserat en massiv nätfiskekampanj innan attacken. Nätfiskemeddelandet lurade anställda att klicka på en länk som fick dem att installera en skadlig plugin förklädd som makron.

Nämnda plugin gjorde det möjligt för BlackEnergy-boten att framgångsrikt infektera nätsystemet genom bakdörrsåtkomst. Hackarna skaffade sedan VPN-uppgifter som tillåter personal att fjärrstyra nätsystemet.

Väl inne tog hackarna tid att övervaka processerna. Och när de var klara loggade de ut personalen från alla system, tog kontroll över processorn för tillsynskontroll och datainsamling (SCADA). De avaktiverade sedan reservkraften, stängde av 30 transformatorstationer och använde överbelastningsattacker för att förhindra avbrottsrapporter.

4. Tritonattacken

Triton är ett skript för skadlig programvara som främst riktar sig till industriella kontrollsystem. Dess styrka kändes när, 2017, en grupp hackare injicerade den i vad experter trodde var ett petrokemiskt kraftverk i Saudiarabien.

Denna attack följde också mönstret av nätfiske och troligt brute-forcing av lösenord för att få första bakdörrsåtkomst till kontrollsystem innan skadlig programvara injicerades.

Efter detta fick hackarna fjärråtkomst till arbetsstationen med säkerhetsinstrumenterade system (SIS) för att förhindra dem från att rapportera fel korrekt.

Relaterad: Vad är ett Supply Chain Hack och hur kan du vara säker?

Det verkade dock som att angriparna bara lärde sig hur systemet fungerar innan de startade en verklig attack. Medan hackarna flyttade runt och finjusterade kontrollsystemet stängdes hela anläggningen ner, tack vare några säkerhetssystem som aktiverade en felsäker.

5. Stuxnet-attacken

Stuxnet är en datormask främst inriktad på programmerbara logiska styrenheter (PLC) i kärnkraftsanläggningar. Masken, utvecklad av det gemensamma amerikanska och israeliska teamet, färdas via USB-blixt med en affinitet för Windows OS.

Stuxnet fungerar genom att ta över kontrollsystem och justera befintliga program för att orsaka skador i PLC: er. 2010 användes det som ett cybervapen mot en anläggning för anrikning av uran i Iran.

Efter att ha infekterat över 200 000 datorer inom anläggningen, programmerade masken om snurinstruktionerna på urancentrifugen. Detta fick dem att snurra abrupt och självförstöra i processen.

6. JBS Köttbearbetningsanläggning

Eftersom vinsten är nära förestående kommer inte hackare att undanta livsmedelsindustrin från sina expeditioner. Ekonomiska motiv drev hackare till kapningsverksamhet på JBS, världens största köttbearbetningsanläggning, i juni 2021.

Följaktligen lade företaget ner all verksamhet i Nordamerika och Australien. Detta hände några veckor efter Colonial Pipelines attack.

Hur fungerade attacken mot JBS industrianläggning?

Liksom Colonial Pipelines fall infekterade angriparna JBS köttbearbetningssystem med ransomware. De hotade då att radera högprofilerad information om företaget skulle misslyckas med att betala en lösen i kryptovaluta.

Industriella cyberattacker följer ett mönster

Även om var och en av dessa attacker har en handlingsplan, är ett mönster som vi kan härleda att hackarna var tvungna att bryta mot autentiseringsprotokoll för att få första inträde. De uppnår detta genom brute-forcing, nätfiske eller sniffning.

De installerar sedan vilken skadlig kod eller virus som helst i det industriella målet för att hjälpa dem att nå sina mål.

Cyberattacker mot industrianläggningar är förödande

Cyberattacken ökar och blir skrämmande lukrativ på internet. Som du har sett påverkar det inte bara den riktade organisationen utan sprider sig även till de människor som drar nytta av dess produkter. Mekaniska operationer i sig är inte sårbara för cyberattacker i sig, men den kontrollerande digitala tekniken bakom dem gör dem sårbara.

Som sagt, inflytandet från digitala styrsystem på tekniska processer är värdefullt. Branscher kan bara stärka sina brandväggar och följa strikta säkerhetsregler, kontroller och balanser för att förhindra cyberattacker.

6 bästa säkerhetsrutiner för webbapplikationer för att förhindra cyberattacker

Att förhindra cyberattacker är avgörande, och att vara smart när du använder webbappar hjälper dig att skydda dig online.

Läs Nästa

Om författaren