A A A

Groźny wirus atakuje elektrownie i wodociągi

13 czerwca 2017, 14:30
Analitycy z firmy ESET zidentyfikowali zaawansowane i bardzo niebezpieczne złośliwe oprogramowanie Industroyer, umożliwiające zakłócanie, a nawet wyłączenie kluczowych procesów przemysłowych, takich jak działanie elektrowni czy przerwanie dostaw wody i gazu.
Groźny wirus atakuje elektrownie i wodociągi

Eksperci z firmy ESET przeanalizowali próbki złośliwego oprogramowania, wykrywanego przez ESET jako Win32/Industroyer, zdolnego do wykonywania ataków na infrastrukturę krytyczną. Industroyer jest szczególnie niebezpiecznym zagrożeniem, ponieważ jest w stanie bezpośrednio kontrolować przełączniki i wyłączniki podstacji elektrycznej. W tym celu wykorzystuje przemysłowe protokoły komunikacyjne stosowane na całym świecie w infrastrukturze zasilania, systemach kontroli transportu i innych ważnych systemach infrastruktury krytycznej (woda, gaz). Przełączniki i wyłączniki są cyfrowymi odpowiednikami przełączników analogowych - technicznie można je zaprojektować do wykonywania różnych funkcji. Tak więc potencjalny skutek ataku może obejmować: przerwy w dystrybucji prądu czy wody i poważniejsze uszkodzenia sprzętu. Oczywiście, zakłócenie takich systemów może mieć bezpośredni lub pośredni wpływ na funkcjonowanie istotnych usług.

Jak działa zagrożenie?

Wysokie niebezpieczeństwo działania zagrożenia Industroyer polega na tym, że wykorzystuje ono protokoły w sposób, do którego zostały zaprojektowane. Problem polega na tym, że te protokoły zostały zaprojektowane kilkadziesiąt lat temu, kiedy systemy infrastruktury krytycznej z zasady były odizolowane od świata zewnętrznego. Z tego powodu nie uwzględniono w tych protokołach należytych zabezpieczeń. To z kolei sprawiło, że atakujący nie musieli szukać luk w tych protokołach - wystarczyło, że zagrożenie wie, jak komunikować się zgodnie z tymi protokołami.

- Zdolność zagrożenia Industroyer do utrzymywania się w systemie i do bezpośredniego oddziaływania na działanie sprzętu przemysłowego czyni to zagrożenie wyjątkowo niebezpiecznym - mówi Kamil Sadkowski, analityk zagrożeń z firmy ESET.

Struktura i kluczowe funkcje

Industroyer to modułowe złośliwe oprogramowanie. Jego podstawowym składnikiem jest backdoor, używany przez atakujących do zarządzania atakiem, który dodatkowo instaluje i kontroluje inne komponenty wirusa oraz łączy się z serwerem atakującego (tzw. C&C) w celu otrzymywania poleceń i raportowania. To, co wyróżnia Industroyer spośród innych dotychczasowych zagrożeń atakujących infrastrukturę krytyczną instalacji przemysłowych, to wykorzystanie czterech różnych komponentów, które mają na celu uzyskanie bezpośredniej kontroli nad przełącznikami i wyłącznikami w stacji dystrybucji energii elektrycznej. Każdy z tych komponentów jest przeznaczony do obsługi innego protokołu komunikacyjnego opisanego w jednej z następujących norm: IEC 60870-5-101, IEC 60870-5-104, IEC 61850 i OPC DA. Komponenty pracują w etapach, których celem jest rozpoznanie sieci, a następnie sprawdzenie, czy wydawane polecenia odnoszą skutek w przypadku konkretnych urządzeń do sterowania przemysłowego.

Złośliwe oprogramowanie zawiera kilka innych funkcji, które umożliwiają m.in. pozostanie w ukryciu w celu zapewnienia trwałości działania złośliwego oprogramowania czy usunięcie śladów po wykonaniu działania. Na przykład komunikacja z serwerami C&C, ukryta w sieci Tor, może być ograniczona do godzin wolnych od pracy. Zagrożenie posiada również dodatkową funkcję backdoora - ukrywa się jako aplikacja Notatnik na wypadek wykrycia lub wyłączenia. Kolejnym modułem jest narzędzie do ataku Denial of Service, które wykorzystuje lukę CVE-2015-5374 w zabezpieczeniach urządzeń SIPROTEC firmy Siemens (służących do ochrony, kontrolowania i monitorowania aplikacji w systemach elektrycznych) i może spowodować, że urządzenia docelowe przestaną odpowiadać.

Win32/Industroyer jest zaawansowanym złośliwym oprogramowaniem i może okazać się wyjątkowo groźny w ręku wyrafinowanego i zdeterminowanego napastnika. Jego zdolność zagnieżdżania się w systemie i zakłócenia krytycznych procesów przemysłowych sprawia, że jest to bardzo niebezpieczne narzędzie mogące spowodować przerwy w dostawach prądu, wody czy gazu. Równie niebezpiecznym zagrożeniem był Stuxnet, którego zadaniem był sabotaż irańskiego programu nuklearnego. Robak okazał się niezwykle skuteczny - według New York Timesa, Stuxnet czasowo unieruchomił niemal 1000 z 5000 irańskich wirówek do oczyszczania uranu. Ostatecznie zagrożenie zostało wyeliminowane, a Iran wznowił pracę wspomnianych urządzeń.

Eksperci podejrzewają, że niedawny atak (w 2016 roku) na ukraińską sieć energetyczną był testem tego zagrożenia i powinien służyć jako ostrzeżenie dla osób i instytucji odpowiedzialnych za bezpieczeństwo najważniejszych systemów na całym świecie.

Zdjęcie główne pochodzi ze źródła: ©123RF/PICSEL


Krzysztof Mocek / Informacja prasowa
krzysztof.mocek@firma.interia.pl
Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności


Pancerny Hammer BOW+ z klapką
19 października 2017
Hammer BOW+ to rozkładana słuchawka o wzmocnionej konstrukcji z normą IP68. Telefon został wyposażony w stacje ładującą, dwa ekrany, 3G i...


Smartfon ZTE z dwoma ekranami
19 października 2017
ZTE oficjalnie zaprezentowało smartfona z dwoma dotykowymi ekranami. Czy znajdą się chętni na takie urządzenie?
Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto