Acum cinci ani, cercetătorii ESET au lansat o analiză pe care au făcut-o despre primul malware ce a fost conceput special pentru a ataca rețelele electrice.

Pe 12 iunie 2017, cercetătorii ESET și-au publicat descoperirile despre programele malware unice care erau capabile să provoace o întrerupere a curentului cu o răspândire mai largă. Industroyer, așa cum l-au numit ei, a fost primul program malware cunoscut care a fost dezvoltat special pentru a viza o rețea electrică.

Într-adevăr, Industroyer a fost desfășurat cu un efect considerabil cu câteva luni mai devreme – și a făcut ca mii de case din anumite părți din Kiev, Ucraina, să-și piardă sursele de alimentare cu energie pentru aproximativ o oră pe 17 decembrie 2016, după ce malware-ul a lovit o stație electrică locală. Câteva zile mai târziu, cercetătorul ESET pe programe malware Anton Cherepanov avea să înceapă să analizeze Industroyer.

O bombă cu ceas

Odată lansat, Industroyer s-a răspândit în rețeaua substației căutând dispozitive de control industriale specifice ale căror protocoale de comunicație le-ar fi putut accesa. Apoi, asemenea unei explozii cu bombă, se pare că a deschis fiecare întrerupător simultan, în timp ce sfida orice încercare a operatorilor de substație de a-și recâștiga controlul: dacă un operator reușea să închidă un întrerupător, malware-ul îl deschidea din nou.

Pentru a-și curăța urmele, malware-ul a dezlănțuit un program ștergător de date, special conceput pentru a lăsa computerele substației inoperabile și a întârziat astfel revenirea la operațiunile normale. Deși acest wiper a eșuat adesea, acest atac a dovedit că dacă ar fi acționat la potențial maxim, consecințele ar fi putut fi mult mai grave – mai ales dacă s-ar fi desfășurat în timpul iernii, când o întrerupere a curentului poate cauza crăparea țevilor pline cu apă atunci când îngheață.

Un ultim act rău intenționat făcut de malware a fost dezactivarea unora dintre releele de protecție de la substație, dar și această încercare a sa a eșuat. Fără releele de protecție funcționale, echipamentul substației ar fi putut prezenta un risc ridicat de deteriorare atunci când operatorii ar fi putut restabili în cele din urmă transmisia electrică.

După cum Cherepanov și colegul său, cercetătorul ESET Robert Lipovsky au spus la acea vreme, gradul de sofisticare pe care o are Industroyer face posibilă adaptarea malware-ului la orice mediu similar. De fapt, protocoalele de comunicare industrială pe care le poate accesa Industroyer nu sunt folosite numai la Kiev, ci și „în întreaga lume, în infrastructura de alimentare cu energie, în sisteme de control ale transportului și alte sisteme de infrastructură critică (cum ar fi apa și gazul)”.

Pe de altă parte, având în vedere cât de complex a fost Industroyer, impactul său a fost în cele din urmă destul de copleșitor, așa cum au remarcat cercetătorii ESET în 2017. Poate că a fost doar un test pentru viitoare atacuri sau poate a fost o dovadă a capacităților pe care grupul din spatele său le are. 

Atacuri sub marca Sandworm

Mijloacele de atac ale malware-ului, au observat cercetătorii ESET, oglindesc intențiile malițioase ale oamenilor care l-au creat. La o conferință Virus Bulletin din 2017, Lipovsky a subliniat că „atacatorii aveau nevoie să înțeleagă arhitectura unei rețele electrice, ce comenzi să trimită și cum se va realiza acest lucru”. Creatorii săi au parcurs un drum lung pentru a crea acest malware, iar obiectivul lor nu a fost doar o întrerupere a curentului. „Unele indicii din configurația Industroyer sugerează că au vrut să provoace daune și defecțiuni ale echipamentelor”.

La Black Hat 2017, Cherepanov a mai subliniat că „pare foarte puțin probabil ca cineva să scrie și să testeze un astfel de malware fără să aibă acces la echipamentele specializate utilizate în mediul industrial specific, vizat”.

În octombrie 2020, Statele Unite au atribuit atacul către șase ofițeri aparținând Unității 74455, alias Sandworm, o unitate din cadrul agenției de informații militare a Rusiei GRU.

O revenire pentru Industroyer

Avansăm rapid până în 2022 și nu este surprinzător că în săptămânile de dinainte și de după invazia Rusiei din 24 februarie, telemetria ESET a arătat o creștere a atacurilor cibernetice care vizează Ucraina.

Pe 12 aprilie, împreună cu CERT-UA, cercetătorii ESET au anunțat că au identificat o nouă variantă de Industroyer care viza un furnizor de energie din Ucraina. Industroyer2 fusese programat să întrerupă curentul pentru o regiune din Ucraina pe data de 8 aprilie; din fericire, atacul a fost împiedicat înainte de a putea cauza și mai multe ravagii în țara sfâșiată de război. Cercetătorii ESET au declarat cu mare încredere că gruparea Sandworm a fost din nou responsabilă pentru acest nou atac.

Un prevestitor pentru incidentele viitoare

În ultimii ani, a devenit mai mult decât evident că serviciile de infrastructură critică ale lumii sunt expuse unui risc major de întreruperi. Șirul de incidente care a afectat infrastructura critică din Ucraina (și, într-adevăr, și din alte părți ale lumii) a trezit la realitate o mare parte a publicului și i-a făcut conștienți pe oameni de riscurile unor atacuri disruptive la nivel de infrastructură, induse de incidente cibernetice, cum ar fi: întreruperi de curent, întreruperi de alimentare cu apă sau a lanțurilor de distribuție a combustibilului, pierderi de date medicale și multe alte consecințe care pot face mult mai mult decât doar să perturbe rutinele zilnice – acestea realmente pot chiar să ne pună viața în pericol.

În 2017, atât Cherepanov, cât și Lipovsky au concluzionat în blogul lor de cercetare cu un avertisment care, cinci ani mai târziu, este încă valabil: „Indiferent dacă recentul atac asupra rețelei electrice ucrainene a fost sau nu un test, ar trebui să servească drept semnal de alarmă pentru cei responsabili de securitatea sistemelor critice din întreaga lume”.