Analitycy z firmy ESET zidentyfikowali zaawansowane i bardzo niebezpieczne złośliwe oprogramowanie Industroyer, umożliwiające zakłócanie, a nawet wyłączenie kluczowych procesów przemysłowych, takich jak działanie elektrowni czy przerwanie dostaw wody i gazu. Według ekspertów, Industroyer to kolejny po Stuxnecie wirus, który w niepowołanych rękach może realnie zagrozić stabilności kluczowych dla państwa systemów przemysłowych.
Eksperci z firmy ESET przeanalizowali próbki złośliwego oprogramowania, wykrywanego przez ESET jako Win32/Industroyer, zdolnego do wykonywania ataków na infrastrukturę krytyczną. Industroyer jest szczególnie niebezpiecznym zagrożeniem, ponieważ jest w stanie bezpośrednio kontrolować przełączniki i wyłączniki podstacji elektrycznej. W tym celu wykorzystuje przemysłowe protokoły komunikacyjne stosowane na całym świecie w infrastrukturze zasilania, systemach kontroli transportu i innych ważnych systemach infrastruktury krytycznej (woda, gaz). Przełączniki i wyłączniki są cyfrowymi odpowiednikami przełączników analogowych – technicznie można je zaprojektować do wykonywania różnych funkcji. Tak więc potencjalny skutek ataku może obejmować: przerwy w dystrybucji prądu czy wody i poważniejsze uszkodzenia sprzętu. Oczywiście, zakłócenie takich systemów może mieć bezpośredni lub pośredni wpływ na funkcjonowanie istotnych usług.
Jak działa zagrożenie?
Wysokie niebezpieczeństwo działania zagrożenia Industroyer polega na tym, że wykorzystuje ono protokoły w sposób, do którego zostały zaprojektowane. Problem polega na tym, że te protokoły zostały zaprojektowane kilkadziesiąt lat temu, kiedy systemy infrastruktury krytycznej z zasady były odizolowane od świata zewnętrznego. Z tego powodu nie uwzględniono w tych protokołach należytych zabezpieczeń. To z kolei sprawiło, że atakujący nie musieli szukać luk w tych protokołach – wystarczyło, że zagrożenie wie, jak komunikować się zgodnie z tymi protokołami.
– Zdolność zagrożenia Industroyer do utrzymywania się w systemie i do bezpośredniego oddziaływania na działanie sprzętu przemysłowego czyni to zagrożenie wyjątkowo niebezpiecznym – mówi Kamil Sadkowski, analityk zagrożeń z firmy ESET.
Struktura i kluczowe funkcje
Industroyer to modułowe złośliwe oprogramowanie. Jego podstawowym składnikiem jest backdoor, używany przez atakujących do zarządzania atakiem, który dodatkowo instaluje i kontroluje inne komponenty wirusa oraz łączy się z serwerem atakującego (tzw. C&C) w celu otrzymywania poleceń i raportowania. To, co wyróżnia Industroyer spośród innych dotychczasowych zagrożeń atakujących infrastrukturę krytyczną instalacji przemysłowych, to wykorzystanie czterech różnych komponentów, które mają na celu uzyskanie bezpośredniej kontroli nad przełącznikami i wyłącznikami w stacji dystrybucji energii elektrycznej. Każdy z tych komponentów jest przeznaczony do obsługi innego protokołu komunikacyjnego opisanego w jednej z następujących norm: IEC 60870-5-101, IEC 60870-5-104, IEC 61850 i OPC DA. Komponenty pracują w etapach, których celem jest rozpoznanie sieci, a następnie sprawdzenie, czy wydawane polecenia odnoszą skutek w przypadku konkretnych urządzeń do sterowania przemysłowego.
Złośliwe oprogramowanie zawiera kilka innych funkcji, które umożliwiają m.in. pozostanie w ukryciu w celu zapewnienia trwałości działania złośliwego oprogramowania czy usunięcie śladów po wykonaniu działania. Na przykład komunikacja z serwerami C&C, ukryta w sieci Tor, może być ograniczona do godzin wolnych od pracy. Zagrożenie posiada również dodatkową funkcję backdoora – ukrywa się jako aplikacja Notatnik na wypadek wykrycia lub wyłączenia. Kolejnym modułem jest narzędzie do ataku Denial of Service, które wykorzystuje lukę CVE-2015-5374 w zabezpieczeniach urządzeń SIPROTEC firmy Siemens (służących do ochrony, kontrolowania i monitorowania aplikacji w systemach elektrycznych) i może spowodować, że urządzenia docelowe przestaną odpowiadać.
Win32/Industroyer jest zaawansowanym złośliwym oprogramowaniem i może okazać się wyjątkowo groźny w ręku wyrafinowanego i zdeterminowanego napastnika. Jego zdolność zagnieżdżania się w systemie i zakłócenia krytycznych procesów przemysłowych sprawia, że jest to bardzo niebezpieczne narzędzie mogące spowodować przerwy w dostawach prądu, wody czy gazu. Równie niebezpiecznym zagrożeniem był Stuxnet, którego zadaniem był sabotaż irańskiego programu nuklearnego. Robak okazał się niezwykle skuteczny – według New York Timesa, Stuxnet czasowo unieruchomił niemal 1000 z 5000 irańskich wirówek do oczyszczania uranu. Ostatecznie zagrożenie zostało wyeliminowane, a Iran wznowił pracę wspomnianych urządzeń.
Eksperci podejrzewają, że niedawny atak (w 2016 roku) na ukraińską sieć energetyczną był testem tego zagrożenia i powinien służyć jako ostrzeżenie dla osób i instytucji odpowiedzialnych za bezpieczeństwo najważniejszych systemów na całym świecie.
– Czy możemy ze stuprocentową pewnością powiązać zagrożenie Industroyer z atakami na sieć energetyczną na Ukrainie w 2016 roku? Bez analizy incydentu w miejscu, w którym doszło do zdarzenia, jest to trudne. Warto jednak zauważyć, że złośliwe oprogramowanie posiada wyraźnie unikatowe możliwości ataku, a także zawiera datę aktywacji 17 grudnia 2016 r., czyli dokładnie dzień wystąpienia przerwy w dostawie energii – komentuje Kamil Sadkowski, analityk zagrożeń z firmy ESET.
ESET
