ESET: wirus atakuje elektrownie i wodociągi. Jest groźny jak Stuxnet

Analitycy z firmy ESET zidentyfikowali zaawansowane i bardzo niebezpieczne złośliwe oprogramowanie Industroyer, umożliwiające zakłócanie, a nawet wyłączenie kluczowych procesów przemysłowych, takich jak działanie elektrowni czy przerwanie dostaw wody i gazu. Według ekspertów, Industroyer to kolejny po Stuxnecie wirus, który w niepowołanych rękach może realnie zagrozić stabilności kluczowych dla państwa systemów przemysłowych.

Eksperci z firmy ESET przeanalizowali próbki złośliwego oprogramowania, wykrywanego jako Win32/Industroyer, zdolnego do wykonywania ataków na infrastrukturę krytyczną. Industroyer jest szczególnie niebezpiecznym zagrożeniem, ponieważ jest w stanie bezpośrednio kontrolować przełączniki i wyłączniki podstacji elektrycznej. W tym celu wykorzystuje przemysłowe protokoły komunikacyjne stosowane na całym świecie w infrastrukturze zasilania, systemach kontroli transportu i innych ważnych systemach infrastruktury krytycznej (woda, gaz).

Przełączniki i wyłączniki są cyfrowymi odpowiednikami przełączników analogowych – technicznie można je zaprojektować do wykonywania różnych funkcji. Tak więc potencjalny skutek ataku może obejmować: przerwy w dystrybucji prądu czy wody i poważniejsze uszkodzenia sprzętu. Oczywiście, zakłócenie takich systemów może mieć bezpośredni lub pośredni wpływ na funkcjonowanie istotnych usług.

Wysokie niebezpieczeństwo działania zagrożenia Industroyer polega na tym, że wykorzystuje ono protokoły w sposób, do którego zostały zaprojektowane. Problem polega na tym, że te protokoły zostały zaprojektowane kilkadziesiąt lat temu, kiedy systemy infrastruktury krytycznej z zasady były odizolowane od świata zewnętrznego. Z tego powodu nie uwzględniono w tych protokołach należytych zabezpieczeń. To z kolei sprawiło, że atakujący nie musieli szukać luk w tych protokołach – wystarczyło, że zagrożenie wie, jak komunikować się zgodnie z tymi protokołami.

• Zdolność zagrożenia Industroyer do utrzymywania się w systemie i do bezpośredniego oddziaływania na działanie sprzętu przemysłowego czyni to zagrożenie wyjątkowo niebezpiecznym – mówi Kamil Sadkowski, analityk zagrożeń z firmy ESET.

Industroyer to modułowe złośliwe oprogramowanie. Jego podstawowym składnikiem jest backdoor, używany przez atakujących do zarządzania atakiem, który dodatkowo instaluje i kontroluje inne komponenty wirusa oraz łączy się z serwerem atakującego (tzw. C&C) w celu otrzymywania poleceń i raportowania. To, co wyróżnia Industroyer spośród innych dotychczasowych zagrożeń atakujących infrastrukturę krytyczną instalacji przemysłowych, to wykorzystanie czterech różnych komponentów, które mają na celu uzyskanie bezpośredniej kontroli nad przełącznikami i wyłącznikami w stacji dystrybucji energii elektrycznej.

Każdy z tych komponentów jest przeznaczony do obsługi innego protokołu komunikacyjnego opisanego w jednej z następujących norm: IEC 60870-5-101, IEC 60870-5-104, IEC 61850 i OPC DA. Komponenty pracują w etapach, których celem jest rozpoznanie sieci, a następnie sprawdzenie, czy wydawane polecenia odnoszą skutek w przypadku konkretnych urządzeń do sterowania przemysłowego.

Złośliwe oprogramowanie zawiera kilka innych funkcji, które umożliwiają m.in. pozostanie w ukryciu w celu zapewnienia trwałości działania złośliwego oprogramowania czy usunięcie śladów po wykonaniu działania. Na przykład komunikacja z serwerami C&C, ukryta w sieci Tor, może być ograniczona do godzin wolnych od pracy. Zagrożenie posiada również dodatkową funkcję backdoora – ukrywa się jako aplikacja Notatnik na wypadek wykrycia lub wyłączenia.

Kolejnym modułem jest narzędzie do ataku Denial of Service, które wykorzystuje lukę CVE-2015-5374 w zabezpieczeniach urządzeń SIPROTEC firmy Siemens (służących do ochrony, kontrolowania i monitorowania aplikacji w systemach elektrycznych) i może spowodować, że urządzenia docelowe przestaną odpowiadać.

Win32/Industroyer jest zaawansowanym złośliwym oprogramowaniem i może okazać się wyjątkowo groźny w ręku wyrafinowanego i zdeterminowanego napastnika. Jego zdolność zagnieżdżania się w systemie i zakłócenia krytycznych procesów przemysłowych sprawia, że jest to bardzo niebezpieczne narzędzie mogące spowodować przerwy w dostawach prądu, wody czy gazu.

Równie niebezpiecznym zagrożeniem był Stuxnet, którego zadaniem był sabotaż irańskiego programu nuklearnego. Robak okazał się niezwykle skuteczny – według New York Timesa, Stuxnet czasowo unieruchomił niemal 1000 z 5000 irańskich wirówek do oczyszczania uranu. Ostatecznie zagrożenie zostało wyeliminowane, a Iran wznowił pracę wspomnianych urządzeń.

Eksperci podejrzewają, że niedawny atak (w 2016 roku) na ukraińską sieć energetyczną był testem tego zagrożenia i powinien służyć jako ostrzeżenie dla osób i instytucji odpowiedzialnych za bezpieczeństwo najważniejszych systemów na całym świecie.

• Czy możemy ze stuprocentową pewnością powiązać zagrożenie Industroyer z atakami na sieć energetyczną na Ukranie w 2016 roku? Bez analizy incydentu w miejscu, w którym doszło do zdarzenia, jest to trudne. Warto jednak zauważyć, że złośliwe oprogramowanie posiada wyraźnie unikatowe możliwości ataku, a także zawiera datę aktywacji 17 grudnia 2016 r., czyli dokładnie dzień wystąpienia przerwy w dostawie energii – komentuje Kamil Sadkowski, analityk zagrożeń z firmy ESET.