Energetyka

ESET ostrzega: Wirus groźny jak Stuxnet atakuje elektrownie i gazociągi

Haker Komputer

Analitycy z firmy ESET zidentyfikowali zaawansowane i bardzo niebezpieczne złośliwe oprogramowanie Industroyer, umożliwiające zakłócanie, a nawet wyłączenie kluczowych procesów przemysłowych, takich jak działanie elektrowni czy przerwanie dostaw wody i gazu. Według ekspertów, Industroyer to kolejny po Stuxnecie wirus, który w niepowołanych rękach może realnie zagrozić stabilności kluczowych dla państwa systemów przemysłowych.

Eksperci z firmy ESET przeanalizowali próbki złośliwego oprogramowania, wykrywanego przez ESET jako Win32/Industroyer, zdolnego do wykonywania ataków na infrastrukturę krytyczną. Industroyer jest szczególnie niebezpiecznym zagrożeniem, ponieważ jest w stanie bezpośrednio kontrolować przełączniki i wyłączniki podstacji elektrycznej. W tym celu wykorzystuje przemysłowe protokoły komunikacyjne stosowane na całym świecie w infrastrukturze zasilania, systemach kontroli transportu i innych ważnych systemach infrastruktury krytycznej (woda, gaz). Przełączniki i wyłączniki są cyfrowymi odpowiednikami przełączników analogowych – technicznie można je zaprojektować do wykonywania różnych funkcji. Tak więc potencjalny skutek ataku może obejmować: przerwy w dystrybucji prądu czy wody i poważniejsze uszkodzenia sprzętu. Oczywiście, zakłócenie takich systemów może mieć bezpośredni lub pośredni wpływ na funkcjonowanie istotnych usług.

Jak działa zagrożenie?

Wysokie niebezpieczeństwo działania zagrożenia Industroyer polega na tym, że wykorzystuje ono protokoły w sposób, do którego zostały zaprojektowane. Problem polega na tym, że te protokoły zostały zaprojektowane kilkadziesiąt lat temu, kiedy systemy infrastruktury krytycznej z zasady były odizolowane od świata zewnętrznego. Z tego powodu nie uwzględniono w tych protokołach należytych zabezpieczeń. To z kolei sprawiło, że atakujący nie musieli szukać luk w tych protokołach – wystarczyło, że zagrożenie wie, jak komunikować się zgodnie z tymi protokołami.

– Zdolność zagrożenia Industroyer do utrzymywania się w systemie i do bezpośredniego oddziaływania na działanie sprzętu przemysłowego czyni to zagrożenie wyjątkowo niebezpiecznym – mówi Kamil Sadkowski, analityk zagrożeń z firmy ESET.

Struktura i kluczowe funkcje

Industroyer to modułowe złośliwe oprogramowanie. Jego podstawowym składnikiem jest backdoor, używany przez atakujących do zarządzania atakiem, który dodatkowo instaluje i kontroluje inne komponenty wirusa oraz łączy się z serwerem atakującego (tzw. C&C) w celu otrzymywania poleceń i raportowania. To, co wyróżnia Industroyer spośród innych dotychczasowych zagrożeń atakujących infrastrukturę krytyczną instalacji przemysłowych, to wykorzystanie czterech różnych komponentów, które mają na celu uzyskanie bezpośredniej kontroli nad przełącznikami i wyłącznikami w stacji dystrybucji energii elektrycznej. Każdy z tych komponentów jest przeznaczony do obsługi innego protokołu komunikacyjnego opisanego w jednej z następujących norm: IEC 60870-5-101, IEC 60870-5-104, IEC 61850 i OPC DA. Komponenty pracują w etapach, których celem jest rozpoznanie sieci, a następnie sprawdzenie, czy wydawane polecenia odnoszą skutek w przypadku konkretnych urządzeń do sterowania przemysłowego.

Złośliwe oprogramowanie zawiera kilka innych funkcji, które umożliwiają m.in. pozostanie w ukryciu w celu zapewnienia trwałości działania złośliwego oprogramowania czy usunięcie śladów po wykonaniu działania. Na przykład komunikacja z serwerami C&C, ukryta w sieci Tor, może być ograniczona do godzin wolnych od pracy. Zagrożenie posiada również dodatkową funkcję backdoora – ukrywa się jako aplikacja Notatnik na wypadek wykrycia lub wyłączenia. Kolejnym modułem jest narzędzie do ataku Denial of Service, które wykorzystuje lukę CVE-2015-5374 w zabezpieczeniach urządzeń SIPROTEC firmy Siemens (służących do ochrony, kontrolowania i monitorowania aplikacji w systemach elektrycznych) i może spowodować, że urządzenia docelowe przestaną odpowiadać.

Win32/Industroyer jest zaawansowanym złośliwym oprogramowaniem i może okazać się wyjątkowo groźny w ręku wyrafinowanego i zdeterminowanego napastnika. Jego zdolność zagnieżdżania się w systemie i zakłócenia krytycznych procesów przemysłowych sprawia, że ​​jest to bardzo niebezpieczne narzędzie mogące spowodować przerwy w dostawach prądu, wody czy gazu. Równie niebezpiecznym zagrożeniem był Stuxnet, którego zadaniem był sabotaż irańskiego programu nuklearnego. Robak okazał się niezwykle skuteczny – według New York Timesa, Stuxnet czasowo unieruchomił niemal 1000 z 5000 irańskich wirówek do oczyszczania uranu. Ostatecznie zagrożenie zostało wyeliminowane, a Iran wznowił pracę wspomnianych urządzeń.

Eksperci podejrzewają, że niedawny atak (w 2016 roku) na ukraińską sieć energetyczną był testem tego zagrożenia i powinien służyć jako ostrzeżenie dla osób i instytucji odpowiedzialnych za bezpieczeństwo najważniejszych systemów na całym świecie.

– Czy możemy ze stuprocentową pewnością powiązać zagrożenie Industroyer z atakami na sieć energetyczną na Ukrainie w 2016 roku? Bez analizy incydentu w miejscu, w którym doszło do zdarzenia, jest to trudne. Warto jednak zauważyć, że złośliwe oprogramowanie posiada wyraźnie unikatowe możliwości ataku, a także zawiera datę aktywacji 17 grudnia 2016 r., czyli dokładnie dzień wystąpienia przerwy w dostawie energii – komentuje Kamil Sadkowski, analityk zagrożeń z firmy ESET.

ESET


Powiązane artykuły

Minister Klimatu i Środowiska Paulina Hennig-Kloska podczas konferencji prasowej Urzędem Miasta Bydgoszczy, 4 bm. Konferencja dot. wsparcia finansowego na działania związane z rekultywacją wielkoobszarowych terenów poprzemysłowych i adaptacją do zmian klimatu, a także rządowego wsparcia dla terenów po dawnym Zachemie. (jm) PAP/Tytus Żmijewski

Inwestycje w wielkoskalowe OZE mniejsze niż zakłada ministerstwo klimatu

Inwestycje w duże farmy fotowoltaiczne istotnie zwolniły. Moc nowych instalacji, którym koncesje wydał w półroczu 2025 roku Urząd Regulacji Energetyki...

Blackout w Pradze. Ludzie uwięzieni w windach, transport szwankuje

W czeskiej stolicy doszło do awarii podstacji w Chodovie, przez którą znaczna część miasta i okolicy została pozbawiona energii elektrycznej....
Offshore na Morzu Bałtyckim. Fot. Polenergia

Inwestorzy wiatraków na Bałtyku zapraszają polskie firmy do projektu

Equinor i Polenergia organizują Dzień Dostawcy dla Bałtyk 1, projektu morskiej farmy wiatrowej w polskiej wyłącznej strefie ekonomicznej Morza Bałtyckiego,...

Udostępnij:

Facebook X X X