Industroyer – a legnagyobb vállalati rendszereket érintő fenyegetés a Stuxnet óta

A villamosenergia ellátásunk a tét

forrás: Prím Online, 2017. június 15. 13:34

Az ESET kutatói kielemeztek egy kifinomult és rendkívül veszélyes kártevőt, amelyet kritikus ipari folyamatok szabotálására terveztek. A szakemberek véleménye szerint a kiberbűnözők egy tavaly év végi, ukrán áramszolgáltatót érintő támadás során tesztelték a vírust.

A 24 órás áramkimaradást okozó, 2016-ban lezajlott ukrán villamosenergia-hálózat elleni akció egy jól irányzott kibertámadás volt. Az ESET szakemberei felfedeztek és kielemeztek egy kártevőt, amelyet Win32/Industroyer néven azonosítottak, és pontosan ugyanilyen támadásokra képes. Az, hogy a kártevőt valóban felhasználták-e egy nagyszabású tesztben a kiberbűnözők, még megerősítésre szorul, ettől függetlenül a vírus jelentős károkat képes okozni az elektromos rendszerekben, és más kritikus infrastruktúrákra is komoly veszélyt jelent.

 

 

Az Industroyer azért is nagyon veszélyes, mert képes közvetlenül irányítani a villamosenergia-alállomás kapcsolóit és megszakítóit. Ehhez olyan ipari kommunikációs protokollokat használ, amelyeket más ellátó infrastruktúrákban, szállításirányítási rendszerekben és más kritikus hálózatokban (víz, gáz) is világszerte alkalmaznak. Ezek a digitális kapcsolók és megszakítók olyanok, mint a hagyományos kapcsolók: különféle funkciók végrehajtására alkalmazhatók. Így a potenciális hatásuk az áramellátás lekapcsolásától a berendezések súlyosabb megkárosításáig terjedhet, és alállomásonként különböző is lehet, így a rendszerek megzavarása közvetlenül vagy közvetve létfontosságú szolgáltatások működését is befolyásolhatja.

 

Az Industroyer veszélyessége abban rejlik, hogy a kommunikációs protokollokat a használatra tervezett módon alkalmazza, azonban ezeket a protokollokat évtizedekkel ezelőtt tervezték, amikor a rendszereket elszigetelték a külvilágtól, így a biztonságra sem fektettek hangsúlyt. Ez azt jelenti, hogy a támadóknak nem kell a sérülékenységeket keresniük, csak meg kell tanítani a kártevőknek, hogyan kommunikáljanak ezekkel az ipari vezérlő protokollokkal. 

 

A nemrégiben észlelt áramkimaradás 2016 december 17-én történt, pontosan egy évvel az alaposan dokumentált ukrajnai eset után, amely 250 ezer háztartást érintett. Ekkor a kiberbűnözők többek között a BlackEnergy és a KillDisk kártevőket alkalmazták. Azon kívül, hogy ukrán áramellátókat támadtak, a szakemberek nem találtak látható azonosságot a BlackEnergy és az Industroyer között.

 

Hogyan működik az Industroyer?

Az Industroyer egy moduláris kártevő. Fő összetevője egy hátsóajtó (backdoor), amelyet bűnözők a támadás végrehajtásához használnak: telepíti és irányítja a többi komponenst, kapcsolódik a távoli szerverhez, parancsokat fogad, illetve jelentést küld a támadóknak.

 

Az Industroyert az különbözteti meg más kártevőktől, hogy négy programkód komponenst (payload) használ, amelyeket az alállomásokon lévő kapcsolók és megszakítók irányításának átvételére terveztek. Ezek a komponensek külön szakaszokban működnek, feladatuk, hogy feltérképezzék a hálózatot, majd kitalálják és kiadják a parancsokat a különféle ipari irányítórendszerekhez. Az Industroyer kártevő által használt programkód azt mutatja, hogy írójuk komoly szakmai tudással rendelkezik az ipari irányítórendszerek működéséről. 

 

 

A kártevő néhány olyan speciális további funkciót is tartalmaz, amelyek arra szolgálnak, hogy a vírus rejtve maradhasson és eltüntesse saját működésének nyomait a károkozás végeztével. Például a távoli C&C szerverrel való kommunikációt a Tor hálózaton keresztül valósították meg, ahol a forgalom olyan módon is korlátozható, hogy az kizárólag a szokásos munkaidőn kívül történjen. Egy további hátsóajtó – amelyet jegyzettömb alkalmazásnak álcáztak – képes újra felvenni a kapcsolatot a megtámadott hálózattal, amennyiben a fő backdoor-t leleplezték és/vagy leállították. A törlőmodul arra szolgál, hogy a rendszerben kritikus registry kulcsokat töröljön, és felülírja a fájlokat, így a rendszer újraindítása nem lehetséges és a visszaállítás is nehezebbé válik. 

 

Konklúzió

Az Industroyer egy rendkívül testreszabható kártevő. Miközben számos célra használható, az ipari irányítórendszerek elleni támadásra is jól alkalmazható a megcélzott kommunikációs protokollok révén, néhány elemzett programkomponens pedig meghatározott hardvereket támad meg.

 

Bár nehéz végrehajtani egy vírustámadást helyszíni reagálás nélkül, nagyon valószínű, hogy 2016 decemberében az ukrajnai áramellátót érintő támadásnál az Industroyert használták a kiberbűnözők. Ezt a kártevő felismerhető, egyedi funkciói mellett egy felfedezett időbélyegző is bizonyítja, amelyet pontosan a támadás napjára időzítettek. 

 

A 2016-os ukrajnai támadás nem kapott akkora figyelmet, mint az egy évvel korábbi akció, azonban akár teszt volt az akció, akár nem, komoly figyelmeztetésnek kell szolgálnia a világszerte megtalálható kritikus rendszerek biztonságával kapcsolatban.

Biztonság ROVAT TOVÁBBI HÍREI

Mobilbiztonsági kockázatok a roaming díj eltörlése után

Idén június 15-től megszűntek a roaming díjak az Európai Unióban, amely így a telefonálás mellett végre az adatforgalomban, az internethasználatban is nagyobb szabadságot ad a felhasználóknak. 

2017. június 22. 13:47

6 milliárd potenciálisan sebezhető okos eszköz van világszerte

A kifejezetten az okos eszközöket célzó malware-minták (kártékony program) száma elérte a 7000-et, amelyeknek több 50%-a az idén jelent meg a Kaspersky Lab kutatói szerint. Világszerte több mint 6 milliárd intelligens eszközt használunk, az emberek egyre inkább veszélybe kerülnek a digitálisan összekapcsolt életüket célzó rosszindulatú programok miatt.

2017. június 22. 12:34

Korunk kiemelkedően fontos témája lett a biztonság

Tavaly januárban több száz ukrajnai lakás marad áram nélkül, amikor hackerek támadták meg az ukrán energiahálózat rendszerét. Pár nappal a tavaly novemberi amerikai elnökválasztás előtt az orosz katonai hírszerzés (GRU) informatikai támadást hajtott végre legalább egy olyan amerikai cég ellen, amely szavazógépekhez való szoftvert gyártott, továbbá adathalász e-maileket küldött több mint 100 amerikai választási tisztviselőnek. Két hónapja zsarolóvírusos kibertámadás érte több angliai kórház informatikai és távközlési hálózatát.

2017. június 22. 09:14

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Közterületet neveztek el a neves informatikusról, Jánosi Marcellről

2017. június 22. 10:22

Generációs ugrást hoz a technológiában az 5G Koalíció

2017. június 19. 15:16

Gyorsítja külföldi terjeszkedését a Codecool programozóiskola

2017. május 18. 11:11

Google: Bagoly-algoritmussal a hamis hírek ellen

2017. április 27. 15:15
cloudappsportal.com