Securitate IT: Industroyer- cea mai mare amenintare la adresa sistemelor de control industrial de la Stuxnet incoace
Atacul din 2016 asupra retelei energetice a Ucrainei, care a privat o parte din capitala sa, Kiev, de energie electrica timp de o ora, a fost cauzat de un atac cibernetic. Cercetatorii ESET au analizat de atunci mostrele de malware, detectate de ESET ca Win32/Industroyer, capabile sa efectueze exact acel tip de atac.
Desi se ia in calcul scenariul conform caruia malware-ul a fost implicat in ceea ce expertii in domeniul securitatii informatice considera ca a fost un test pe scara larga, acest aspect nu a fost inca validat. Cu toate acestea, malware-ul este capabil sa afecteze semnificativ sistemele de energie electrica si ar putea fi, de asemenea, refacut pentru a viza alte tipuri de infrastructuri critice.
Industroyer este o amenintare deosebit de periculoasa, deoarece este capabila sa controleze in mod direct switch-urile si intrerupatoarele electrice industriale. Pentru a face acest lucru, utilizeaza protocoalele de comunicare industriale utilizate in intreaga lume in infrastructura de alimentare cu energie, in sistemele de control al transportului energetic si in alte sisteme de infrastructura critica (cum ar fi apa si gazul).
Aceste switch-uri si intreruptoare sunt echivalentele digitale ale comutatoarelor analogice; din punct de vedere tehnic, ele pot fi proiectate pentru a efectua diverse functii. Astfel, impactul potential poate varia de la oprirea pur si simplu a distributiei de energie sau esecuri in cascada la deteriorari mai grave a echipamentelor. De asemenea, severitatea poate varia de la o statie la alta. Nu mai este nevoie sa spunem ca intreruperea acestor sisteme poate afecta direct sau indirect functionarea serviciilor vitale.
Natura periculoasa a lui Industroyer consta in faptul ca utilizeaza protocoalele exact in modul in care au fost proiectate sa fie utilizate. Problema este ca aceste protocoale au fost concepute acum cateva zeci de ani, iar atunci sistemele industriale erau menite sa fie izolate de lumea exterioara. Astfel, protocoalele lor de comunicare nu au fost concepute avand in minte principii ce tin de siguranta. Asta inseamna ca atacatorii nu au cautat vulnerabilitati de protocol; tot ceea ce a fost necesar a fost ca ei sa invete malware-ul “sa vorbeasca” cu acele protocoale.
Recenta intrerupere frauduloasa a alimentarii electrice a avut loc pe 17 decembrie 2016, la aproape un an dupa ce atacul cibernetic industrial, indelung analizat, a provocat o panica ce a afectat aproximativ 230.000 de gospodarii din mai multe regiuni din Ucraina, in 23 decembrie 2015.
In 2015, infractorii au introdus in retelele de distributie a energiei electrice malware-ul BlackEnergy, impreuna cu KillDisk si alte componente rau-intentionate si apoi au exploatat software-ul legitim de acces la distanta pentru a controla statiile de lucru ale operatorilor si pentru a intrerupe alimentarea cu energie. Pe langa atacarea retelei electrice ucrainene, nu exista nicio asemanare aparenta intre codurile BlackEnergy si Industroyer.
Structura si functionalitatile cheie
Industroyer este un malware modular. Componenta sa principala este un backdoor folosit de atacatori pentru a gestiona atacul: acesta instaleaza si controleaza celelalte componente si se conecteaza la un server la distanta pentru a primi comenzi si pentru a raporta atacatorilor.
Ceea ce defineste Industroyer, fata de alte structuri malware conceputre sa vizeze infrastructuri industriale, este utilizarea a patru componente de sarcina utila malitioasa, care sunt proiectate pentru a obtine controlul direct al switch-urilor si intrerupatoarelor la o statie de distributie a energiei electrice.
Fiecare dintre aceste componente vizeaza protocoale de comunicare particulare specificate in urmatoarele standarde: IEC 60870-5-101, IEC 60870-5-104, IEC 61850, si OLE for Process Control Data Access (OPC DA).
In general, sarcinile utile ale codului malware functioneaza in etape ale caror scopuri sunt reprezentate de cartografiere retelei si apoi identificarea si emiterea de comenzi care vor functiona cu dispozitivele specifice de control industrial. Codurile de exploatare ale lui Industroyer demonstreaza cunostintele si intelegerea aprofundata pe care le au autorii atacului cu privire la sistemele de control industrial.
Malware-ul contine cateva caracteristici care sunt proiectate sa-i permita sa ramana sub acoperire, pentru a asigura persistenta malware-ului si pentru a stergerea urmelor, dupa ce si-a facut treaba.
De exemplu, comunicarea cu serverele C & C ascunse in Tor poate fi limitata la intervalele orare nelucratoare. De asemenea, acesta foloseste un backdoor suplimentar – disimulat intr-o aplicatie de tip Notepad – conceputa pentru a redobandi accesul la reteaua vizata in cazul in care principalul backdoor este detectat si / sau dezactivat.
Modulul sau de stergere este conceput pentru a sterge cheile de registri importanti ai sistemului si pentru a suprascrie fisierele pentru a face sistemul sa nu se poata incarca, iar recuperarea sa fie mai dificila. Interesant este scanerul de porturi care cartografiaza reteaua, care incerca sa gaseasca computerele relevante din retea: atacatorii si-au facut propriul instrument personalizat, in loc sa utilizeze software-ul existent. In sfarsit, un alt modul este un instrument Denial-of-Service care exploateaza vulnerabilitatea CVE-2015-5374 in dispozitivele Siemens SIPROTEC si poate face dispozitivele vizate sa nu raspunda.
Concluzie
Industroyer este un tip malware foarte personalizabil. Desi este universal, prin faptul ca poate fi folosit pentru a ataca orice sistem de control industrial care utilizeaza unele dintre protocoalele de comunicare vizate, o parte dintre componentele din esantioanele analizate au fost concepute pentru a afecta anumite componente hardware. De exemplu, componenta de stergere a datelor si una dintre componentele sarcinii utile malitioase sunt adaptate pentru utilizarea impotriva sistemelor care incorporeaza anumite produse industriale de control al puterii de catre ABB, iar componenta DoS functioneaza in mod specific impotriva dispozitivelor Siemens SIPROTECT folosite in substatii electrice si in alte domenii conexe de aplicare.
In principiu, este dificil sa fie atribuite atacurile acestui malware fara a se efectua o analiza a incidentului la fata locului, dar este foarte probabil ca Industroyer sa fi fost folosit in atacul din decembrie 2016 asupra retelei electrice din Ucraina. Pe langa faptul ca malware-ul poseda in mod clar capabilitatile unice de a efectua atacul, acesta contine un timbru de activare pentru data de 17 decembrie 2016, exact ziua intreruperii alimentarii electrice.
Atacul din 2016 asupra retelei electrice ucrainene a atras mult mai putina atentie decat atacul care a avut loc cu un an mai devreme. Cu toate acestea, instrumentul cel mai probabil folosit, Win32/Industroyer, este o secventa avansata de malware in mainile unui atacator experimentat si determinat.
Din cauza capacitatii sale de a persista in sistem si de a dispune module de atac fin configurate, atacatorii ar putea adapta malware-ul la orice mediu, ceea ce il face extrem de periculos. Indiferent daca atacul recent asupra retelei electrice din Ucraina a fost sau nu un test, acesta ar trebui sa serveasca drept apel de trezire pentru cei responsabili pentru securitatea sistemelor critice din intreaga lume.
Pentru mai multe informatii si o oferta personalizata de solutii si de servicii IT, va rugam sa ne contactati.
Sursa: http://blog.eset.ro