Artikel top billede

Er en ny supervirus på vej? Mystisk Stuxnet-klon på spil på nettet

Irongate er navnet på kode, der på mange måder minder om Stuxnet. Eksperter undrer sig: Hvad er bagmændene mon ude på med den nye malware?

Du husker nok Stuxnet, en ondsindet malware, der var kodet og udviklet af USA og Israel med det formål at sabotere Irans kernevåbenprogram.

Programmet spredte sig dog med lynets hast til alle mulige andre computere.

Helt specifikt var koden udviklet til at ramme Natanz-atomudviklingsfaciliteter i Iran, og koden indeholdt angrebsfaciliteter mod en Siemens PLC-enhed (Programmable Logic Controller), altså et af de industrisystemer, der blev anvendt på Natanz.

Læs også: Sikkerhedsanalyse: Stuxnet har hærget siden 2005

I øjeblikket er der en Stuxnet-klon med navnet Irongate i omløb, som ligeledes fokuserer på den kritiske infrastruktur, der altså er hele samfundets forsyningsnet.

Læs også: Energinet.dk efter sikkerhedslussing: Sådan vil vi sikre danskernes el-forsyning

Stuxnet-kopi

Som det også var tilfældet med Stuxnet, kan Irongate angribe industrisystemer (PLC/scada-systemer).

Hvis en hacker får kontrol over softwaren i disse systemer, kan vedkommende foretage store fysiske skader på eksempelvis vand- eller elforsyningen.

Firmaet Digital Bond advarer nu om, at der skal vises rettidig omhu i de virksomheder, der anvender industrisystemerne.

Ikke fordi der er en specifik trussel fra eksempelvis Irongate, men fordi der ligger et rammeværk i form af dette program, som kan anvendes mod systemerne.

PLC-brugerne skal i langt højere grad gøre sig klar til at møde truslerne, lyder det fra denne kant.

Den vurdering er sikkerhedsekspert Jens Christian Høy Monrad fra Fireeye i Danmark enig i.

"Der mangler fokus på industriens anlæg og den sikkerhed, der skal være på plads. Et helt konkret område, man kan tage fat på, er kommunikationsproblemet mellem udviklere af industrianlæg og sikkerhedsbranchen. Det er to helt forskellige verdener," siger han til Computerworld.

Irongate blev opdaget af sikkerhedsforskere fra netop firmaet Fireeye i slutningen af 2015.

Dog ikke i aktiv form. Den skadelige kode blev fundet i Googles database, Virustotal, hvor brugere kan sende mistænkelige filer ind for at blive undersøgt nærmere.

Stuxnet har dog givet meget fokus på sikkerheden omkring kritiske systemer. Før Stuxnet-tiden var det faktisk så grelt, at der nærmest var fri bane igennem industrisystemerne.

"Stuxnet-folkene fandt eksempelvis passwords til systemerne via manualerne til PLC-enhederne, der lå på nettet. Men der er stadig lang vej til god sikkerhed," fortæller Peter Kruse, sikkerhedsekspert fra CSIS.

Læs også: Klare beviser: Så grusom bliver en cyber-krig

Irongate blev sendt til databasen allerede i 2014, men den blev aldrig bedømt til at være skadelig. Ingen af antivirusprogrammerne klassificerede den som skadelig kode.

Det skyldes angiveligt, at koden i programmet er enormt specifik, som i Stuxnet, og er bygget til at finde og erstatte en bestemt fil, der anvendes sammen med et industrisystem fra Siemens.

Irongate udfører så en slags man-in-the-middle-angreb.

Når den ondsindede kode har erstattet den eftersøgte, fil, snyder den kontrolfunktionen i det kompromitterede system, der skal fortælle, om alt er i orden.

Koden gentager simpelthen en sekvens, der fortæller, at alt er OK og looper så sekvensen. Man kan sammenligne det med en video-sekvens, der hele tiden gentages på et overvågningskamera for at vise, at alt er vel.

Systemet opdager således ikke, at der manipuleres med maskinerne.

Læs også: Han var med til at afsløre Stuxnet: "Der er tonsvis af spionageprogrammer"

Industrien skal være på dupperne

Den malware, der blev sendt til Google, virkede til at være harmløs, og Siemens sikkerhedsfolk siger da også til Fireeye, at der ikke udnyttes sårbarheder i deres systemer samt, at en angriber ikke vil have mulighed for at ramme firmaets kontrolsystemer.

Hverken Digital Bond eller Fireeye kan knytte Irongate til et bestemt angreb. Det er muligt, at koden stammer fra et forskningsprojekt, men frygten for, at nogen forsøger et bygge en Stuxnet-klon, er absolut også til stede.

"Nogen har brugt meget energi på at udvikle et stykke software, der kan angribe industrianlæg. Men præcist hvad formålet er, det ved vi faktisk ikke," siger Jens Christian Høy Monrad.

Han udelukker da heller ikke, at de to år er blevet brugt til at ændre Irongate-koden for at blive målrettet i sin mission og derved komme i samme liga som Stuxnet.

Og Digital Bond sætter spørgsmålstegn ved, om industrien er klar til et nyt angreb:

"Potentielle angribere har lært af Stuxnet, mens dem, der skal forsvare industrisystemerne, ikke er blevet bedre til at opdage de trusler, der kan ramme dem. Evnen til at opdage angreb på industrielle anlæg skal forbedres markant," skriver Dale Peterson, der er chef i Digital Bond, som arbejder med industrianlæg, i dette blogskriveri.

Fireeye mener ligeledes, at der må være malware-eksempler rettet mod PLC/scada-anlæg, der ikke er opdaget.

"Vi har ikke nok synlighed om denne type sikkerhed, og virksomhederne, der udvikler denne form for anlæg, kan godt blive bedre til sikkerhed."

"Hvis man måler på antallet af rapporterede sårbarheder i disse systemer og sætter dem i forhold til den malware, vi har opdaget, så er der et stort gab."

"Vi kender vel kun en lille håndfuld malware, der er rettet mod den kritiske infrastruktur, hvilket i mine ører lyder som alt for lidt," siger Jens Christian Høy Monrad.

Peter Kruse fra CSIS tilføjer:

"Det malware, man har fundet, er fundet ved et tilfælde. Man ved faktisk kun noget om Stuxnet, de øvrige malware-koder, som Irongate, aner man ikke hvor kommer fra, eller hvad de skal bruges til. Trusselsbilledet på dette område er ret tåget."

Problemet er dog også et rent praktisk.

"Vi har set flere eksempler på, at man ikke ændrer eller opdaterer industrisystemerne, fordi man er bange for, at det kan betyde nedetid eller midlertidig nedbrud. Der er simpelthen en frygt for, at der ikke kan leveres konstant, og den overskygger sikkerheden," siger Jens Christian Høy Monrad.

Det er Peter kruse fra CSIS også enig i, og han tilføjer:

"Meget af koden, som anvendes på disse industrisystemer, er gammel, og den skal skrives helt om for at skabe god sikkerhed. Men man frygter at udskifte koden, fordi det er uhyre besværligt. Leverandørerne anbefaler i mange tilfælde, at man slet ikke opdaterer, hvilket gør systemerne uhyre sårbare," siger han.

Det er dog ikke alle, der deler denne skepsis. Læs eksempelvis: It-direktør hos Energinet: "At Danmark skulle gå i sort er et ekstremt teoretisk eksempel"

Læs også:

Han var med til at afsløre Stuxnet: "Der er tonsvis af spionageprogrammer"