Industroyer: cea mai mare amenințare la adresa sistemelor de control industrial de la Stuxnet încoace


Atacul din 2016 asupra rețelei energetice a Ucrainei, care a privat o parte din capitala sa, Kiev, de energie electrică timp de o oră, a fost cauzat de un atac cibernetic. Cercetătorii ESET au analizat de atunci mostrele de malware, detectate de ESET ca Win32/Industroyer, capabile să efectueze exact acel tip de atac.

Deși se ia în calcul scenariul conform căruia malware-ul a fost implicat în ceea ce experții în domeniul securității informatice consideră că a fost un test pe scară largă, acest aspect nu a fost încă validat. Cu toate acestea, malware-ul este capabil să afecteze semnificativ sistemele de energie electrică și ar putea fi, de asemenea, refăcut pentru a viza alte tipuri de infrastructuri critice.

Industroyer este o amenințare deosebit de periculoasă, deoarece este capabilă să controleze în mod direct switch-urile și întrerupătoarele electrice industriale. Pentru a face acest lucru, utilizează protocoalele de comunicare industriale utilizate în întreaga lume în infrastructura de alimentare cu energie, în sistemele de control al transportului energetic și în alte sisteme de infrastructură critică (cum ar fi apa și gazul).

Aceste switch-uri și întreruptoare sunt echivalentele digitale ale comutatoarelor analogice; din punct de vedere tehnic, ele pot fi proiectate pentru a efectua diverse funcții. Astfel, impactul potențial poate varia de la oprirea pur și simplu a distribuției de energie sau eșecuri în cascadă la deteriorări mai grave a echipamentelor. De asemenea, severitatea poate varia de la o stație la alta. Nu mai este nevoie să spunem că întreruperea acestor sisteme poate afecta direct sau indirect funcționarea serviciilor vitale.

Natura periculoasă a lui Industroyer constă în faptul că utilizează protocoalele exact în modul în care au fost proiectate să fie utilizate. Problema este că aceste protocoale au fost concepute acum câteva zeci de ani, iar atunci sistemele industriale erau menite să fie izolate de lumea exterioară. Astfel, protocoalele lor de comunicare nu au fost concepute având în minte principii ce țin de siguranță. Asta înseamnă că atacatorii nu au cautat vulnerabilități de protocol; tot ceea ce a fost necesar a fost ca ei să învețe malware-ul "să vorbească" cu acele protocoale.

Recenta întrerupere frauduloasă a alimentării electrice a avut loc pe 17 decembrie 2016, la aproape un an după ce atacul cibernetic industrial, îndelung analizat, a provocat o panică ce a afectat aproximativ 230.000 de gospodării din mai multe regiuni din Ucraina, în 23 decembrie 2015.

În 2015, infractorii au introdus în rețelele de distribuție a energiei electrice malware-ul BlackEnergy, împreună cu KillDisk și alte componente rău-intenționate și apoi au exploatat software-ul legitim de acces la distanță pentru a controla stațiile de lucru ale operatorilor și pentru a întrerupe alimentarea cu energie. Pe lângă atacarea rețelei electrice ucrainene, nu există nicio asemănare aparentă între codurile BlackEnergy și Industroyer.

Structura și funcționalitățile cheie

Industroyer este un malware modular. Componenta sa principală este un backdoor folosit de atacatori pentru a gestiona atacul: acesta instalează și controlează celelalte componente și se conectează la un server la distanță pentru a primi comenzi și pentru a raporta atacatorilor.

Ceea ce definește Industroyer, față de alte structuri malware conceputre să vizeze  infrastructuri industriale, este utilizarea a patru componente de sarcină utilă malițioasă, care sunt proiectate pentru a obține controlul direct al switch-urilor și întrerupătoarelor la o stație de distribuție a energiei electrice.

Fiecare dintre aceste componente vizează protocoale de comunicare particulare specificate în următoarele standarde: IEC 60870-5-101IEC 60870-5-104IEC 61850, și OLE for Process Control Data Access (OPC DA).

În general, sarcinile utile ale codului malware funcționează în etape ale căror scopuri sunt reprezentate de cartografiere rețelei și apoi identificarea și emiterea de comenzi care vor funcționa cu dispozitivele specifice de control industrial. Codurile de exploatare ale lui Industroyer demonstrează cunoștințele și înțelegerea aprofundată pe care le au autorii atacului cu privire la sistemele de control industrial.

Malware-ul conține câteva caracteristici care sunt proiectate să-i permită să rămână sub acoperire, pentru a asigura persistența malware-ului și pentru a ștergerea urmelor, după ce și-a făcut treaba.

De exemplu, comunicarea cu serverele C & C ascunse în Tor poate fi limitată la intervalele orare nelucrătoare. De asemenea, acesta folosește un backdoor suplimentar - disimulat într-o aplicație de tip Notepad - concepută pentru a redobândi accesul la rețeaua vizată în cazul în care principalul backdoor este detectat și / sau dezactivat.

Modulul său de ștergere este conceput pentru a șterge cheile de regiștri importanți ai sistemului și pentru a suprascrie fișierele pentru a face sistemul să nu se poată încărca, iar recuperarea să fie mai dificilă. Interesant este scanerul de porturi care cartografiază rețeaua, care încercă să găsească computerele relevante din rețea: atacatorii și-au făcut propriul instrument personalizat, în loc să utilizeze software-ul existent. În sfârșit, un alt modul este un instrument Denial-of-Service care exploatează vulnerabilitatea CVE-2015-5374 în dispozitivele Siemens SIPROTEC și poate face dispozitivele vizate să nu răspundă.

Concluzie

Industroyer este un tip malware foarte personalizabil. Deși este universal, prin faptul că poate fi folosit pentru a ataca orice sistem de control industrial care utilizează unele dintre protocoalele de comunicare vizate, o parte dintre componentele din eșantioanele analizate au fost concepute pentru a afecta anumite componente hardware. De exemplu, componenta de ștergere a datelor și una dintre componentele sarcinii utile malițioase sunt adaptate pentru utilizarea împotriva sistemelor care încorporează anumite produse industriale de control al puterii de către ABB, iar componenta DoS funcționează în mod specific împotriva dispozitivelor Siemens SIPROTECT folosite în substații electrice și în alte domenii conexe de aplicare.

În principiu, este dificil să fie atribuite atacurile acestui malware fără a se efectua o analiză a incidentului la fața locului, dar este foarte probabil ca Industroyer să fi fost folosit în atacul din decembrie 2016 asupra rețelei electrice din Ucraina. Pe lângă faptul că malware-ul posedă în mod clar capabilitățile unice de a efectua atacul, acesta conține un timbru de activare pentru data de 17 decembrie 2016, exact ziua întreruperii alimentării electrice.

Atacul din 2016 asupra rețelei electrice ucrainene a atras mult mai puțină atenție decât atacul care a avut loc cu un an mai devreme. Cu toate acestea, instrumentul cel mai probabil folosit, Win32/Industroyer, este o secvență avansată de malware în mâinile unui atacator experimentat și determinat.

Din cauza capacității sale de a persista în sistem și de a dispune module de atac fin configurate, atacatorii ar putea adapta malware-ul la orice mediu, ceea ce îl face extrem de periculos. Indiferent dacă atacul recent asupra rețelei electrice din Ucraina a fost sau nu un test, acesta ar trebui să servească drept apel de trezire pentru cei responsabili pentru securitatea sistemelor critice din întreaga lume.

 

ANTON CHEREPANOV
CORESPONDENT INDEPENDENT

Georgiana June 15, 2017

Lasa un comentariu