Det är orsaken – spekulerar en IT-expert – till att det börjat dyka upp attackprogram som maskerar sig som uppdateringar eller data till Siemens Simatic WinCC, GE Cimplicity, drivrutiner från Advantech och annan programvara och för industriella styrsystem, så kallade Scadasystem.
Det pågår idag en diskussion mot skyddet mot fysiskt sabotage av anläggningar via IT-attacker mot kontrollrum. Sådana attackprogram existerar – Havex och BlackEnergy är två exempel. Men i detta fall utsätts kontrollrummen alltså ”bara” för klassiska IT-attacker som sprider programvara för att stjäla pengar.
Användaren kan exempelvis få ett ebrev som ser ut att vara från Siemens och innehåller en länk till en sida med vad som påstås vara en legitim programuppdatering. Istället installeras ett program som exempelvis spelar in och laddar hem användarens tangentnedtryckningar.
Attacken har inget med några säkerhetshål i Scadaprogrammen i sig att göra. Trojanen har bara klätt ut sig till ett Scadaprogram genom att använda samma filnamn och grafiska utseende.
Upptäckten gjordes av Kyle Wilhoit på IT-säkerhetsföretaget Trend Micro. Han hittade tretton olika attackprogram riktade mot Scadaprogramvara.
– Målet är förmodligen inte industrispionage utan att få tag på bankkontoinformation eller finansiellt lönsam information, säger han.
– Angripare har börjat upptäcka att Scada är en bra angreppsväg eftersom de är så oskyddade.
Kontrollrummet använder typiskt vanliga Windowsbaserade datorer som ofta inte kör några antivirusprogram alls, eller inte har installerat de senaste uppdateringarna.
Även om attacken är riktad mot bankkontot kan den fortfarande störa styrsystemen.
– Om operatörens användargränssnitt infekteras kan skadan bli densamma. Användargränssnitt är känsliga. Det krävs inte mycket för att få dem ur balans.
Han har informerat Scadatillverkarna om attacken.