Sammanfattning: Dragos ICS Cybersecurity Year in Review 2020

Tuesday, March 9, 2021

UnderrättelserSammanfattningDragos Inc.

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Detta är en sammanfattning av rapporten Dragos ICS Cybersecurity Year in Review vilken publicerades i februari 2021. Rapporten fokuserar uteslutande på aktivitet kopplad till Industrial Control Systems (ICS) och den aktivitet som förekommer där.

I sammanfattningen försöker jag besvara ett antal generaliserade frågeställningar som i stora drag avser undersöka vad som händer, hur system angrips, vilka sårbarheter som utnyttjas, vem som angriper och varför.

Nyckelinsikter

  • Angrepp mot OT/ICS-infrastrukturer ökar och för varje hotaktör som försvinner tillkommer tre nya. Aktörer söker initial insteg i de digitala miljöerna för att senare kunna agera utifrån strategiska målsättningar om att slå ut samhällskritisk infrastruktur vid konflikter.
  • Sårbarheter som utnyttjas är bland annat bristande hantering av inloggningsuppgifter till exempelvis VPN eller andra fjärrtjänster som RDP som många gånger gör OT-nätverken tillgängliga från Internet.
  • Många företag saknar nätverksmässig insyn i sina OT/ICS-nätverk och har med anledning av detta svårt att veta vilka enheter, datorer eller servrar som finns där.

Anteckningar

Den här artikeln är baserad på den här rapporten .

Vad är det som händer?

Intresset för att angripa och positionera sig inom ICS-infrastrukturer ökar. För varje hotaktör som försvinner, eller blir inaktiv, tillkommer tre nya.

ICS-nätverk får även dras med utpressningstrojaner särskilt framtagna för att verka i OT-nätverk i det här fallet handlar det om utpressningstrojanen EKANS. Denna trojan stoppar specifika ICS-relaterade program och tjänster.

Vilka sårbarheter utnyttjas?

Ett mycket vanligt förekommande problem är att företag saknar insyn i sina OT-nätverk. Detta innebär många gånger att företagen inte vet exakt vilka enheter, utrustnig eller datorer som finns på nätverken.

Fler OT-nätverk exponeras också allt oftare genom diverse fjärrtjänster som t.ex. VPN eller Remote Desktop Protocol (RDP).

Företag har också generellt sett dålig koll på inloggningsuppgifter för den utrustning som finns i OT-nätverken. Det kan handla om standard-konton, konton med svaga lösenord osv.

Hur gör dom?

Den vanligasten metoden för att verka i angripna nätverk är användadet av T1078 - Giltiga inloggningsuppgifter . Och som nämnt ovan angående tillgängliga VPN- och fjärrtjänster utnyttjas dessa självklart också av aktörerna.

I princip samtliga rapporterade aktörers aktivitet förekommer även Phishing i form av Spearphishing genom bifogade filer och länkar. De mer avancerade aktörerna utger sig för att vara aktörer i auktoritär position; tänk Energimyndigheten eller Svenska kraftnät.

Vem angriper?

Dragos nämner aldrig länder utan gör det endast indirekt. De nämner istället aktivitetsgrupper och länkar till andra namngivna aktörer. De använder sig utav Diamond-modellen för att representera olika grupper av av aktivitet. Genom dessa kan vi se att åtminstone Kina och Ryssland finns representerade.

Det finns flera grupperingar som är aktiva där vissa grupper specialiserar sig på att fixa åtkomst till nätverken och andra som fortsätter det fördjupade intrånget.

Varför?

Anledningarna bakom angreppen är många gånger svåra att fastställa. Det är dock inte ovanligt att där det förekommer konflikter mellan länder även förekommer cyberangrepp. Ett exempel från rapporten är konflikten mellan Azerbajdzjan och Armenien som anges som förklaringen till varför cyberaktivitet har observerats.

Det skulle i övrigt kräva betydligt mer kunskap om aktörerna bakom för att kunna dra några slutsatser om motiv. MUST skriver i sin årsöversikt för 20201 på sidan 14 följande:

Exempelvis söker man insteg i digital eller fysisk samhällskritisk infrastruktur som man vill kunna lamslå om man skulle anse det ändamålsenligt – för politiska påtryckningar i fred, demoraliserande samhällspåverkan i en kris eller för att skada vårt totalförsvar i krig.

Vi skulle kunna tolka detta som insteg i elförsörjning och vidare tolka det som förberedelser inför framtida strategiska behov.

Även om kritisk infrastruktur tidigare varit mål för i huvudsak statliga aktörer ser det nu alltså också ut som att kriminella aktörer försöker bredda sin verksamhet och ge sig på kritisk infrastruktur.


  1. https://www.forsvarsmakten.se/siteassets/4-om-myndigheten/dokumentfiler/rapporter/must-arsoversikt-2020.pdf ↩︎

UnderrättelserSammanfattningDragos Inc.

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Har du läst dom här?

Sammanfattning: FRA årsrapport för 2020

Sammanfattning: Crowdstrike Global Threat Report 2021