Industroyer, godny następca Stuxneta?

[KopalniaWiedzy.pl 357]

Industroyer to, zdaniem części ekspertów, największe od czasów Stuxneta zagrożenie dla infrastruktury przemysłowej. Specjaliści z firmy ESET, którzy przeanalizowali Industroyera, informują, że kod jest zdolny do przeprowadzenia ataku podobnego do tego, który w 2016 roku doprowadził do wyłączenia prądu w Kijowie. Na razie jednak nie wiadomo, czy to Industroyer był odpowiedzialny za tamtą awarię. Wiadomo jednak, że ma on duże możliwości ataku na infrastrukturę energetyczna i może być przebudowany tak, by atakować inne rodzaje krytycznej infrastruktury.

Industroyer wykorzystuje przemysłowe protokoły komunikacyjne, które są używane na całym świecie w energetyce czy transporcie i za ich pomocą bezpośrednio kontroluje przełączniki w podstacjach energetycznych i wyłączniki instalacyjne. Tego typu urządzenia mogą zostać zaprogramowane tak, by zarówno prowadziły do prostych wyłączeń prądu, jak i by wywoływały reakcję łańcuchową, liczne awarie i uszkodzenia sprzętu.

Niebezpieczeństwo stwarzane przez Industroyera leży w tym, że używa on protokołów tak, jak zostały one do tego przewidziane. Problemy z tym protokołami polega na tym, że zostały one zaprojektowane dziesiątki lat temu, gdy systemy przemysłowe były odizolowane od sieci zewnętrznych. Nie projektowano ich zatem z myślą o bezpieczeństwie komunikacji. A to oznacza, że napastnik nie musi szukać w nich dziur. Jedynie, czego potrzebuje, to szkodliwy kod, który dogaduje się z protokołem – mówi Anton Cherepanov z ESET-u.

Głównym elementem Industroyera jest backdoor wykorzystywany do zarządzania szkodliwym kodem. Instaluje on moduły kontrolne i komunikuje się z serwerem, z którego otrzymuje instrukcje. Eksperci ESET-u zauważają, że tym, co różni Industroyera od innych kodów atakujących infrastrukturę przemysłową jest fakt wykorzystywania czterech różnych komponentów atakujących konkretne protokoły komunikacyjne. To zaś wskazuje, żę autor szkodliwego kodu ma szczegółową wiedzę i dobrze rozumie systemy kontroli przemysłowej.

Komunikacja z serwerem kontrolującym odbywa się za pomocą sieci Tor i można ją skonfigurować tak, by odbywała się poza godzinami pracy zaatakowanego przedsiębiorstwa. Kod korzysta też z dodatkowego backdoora wyglądającego jak prosta aplikacja tekstowa, którego zadaniem jest odzyskanie łączności z serwerem w wypadku, gdyby poprzedni backdoor został wykryty lub wyłączony. Industroyer charakteryzuje się również dużymi możliwościami konfiguracyjnymi. Można go np. przystosować do ataków na konkretny sprzęt. Analizy wykazały, że używany był np. do atakowania przełączników firmy ABB, a moduł do przeprowadzania ataków DoS działa przeciwko urządzeniom Siemens SIPROTECT.

« powrót do artykułu