Rovatok

Közösségi média

Becsült olvasási idő: 3 perc
Iparromboló fenyegeti a vezérlő rendszereket

Win32/Industroyer néven kifinomult kiberfegyvert azonosított a vírusvédelemmel foglalkozó ESET. A kártevő az ipari vezérlő rendszerek, különösen az elektromos elosztó hálózatok alrendszereiben használt ICS-ek szabotálására készült.

A biztonsági cég kutatói szerint a kibertámadók ezt a kártevő szoftverkódot tesztelhették, amikor tavaly decemberben 24 órás áramkimaradást idéztek elő Ukrajnában, bár ennek bizonyítása még jelenleg is tart.

Egyértelmű viszont, hogy a Win32/Industroyer fejlesztői mélyrehatóan ismerik az ipari vezérlő rendszereket. Mi több, az ESET úgy véli, aligha írhatott és tesztelhetett volna bárki is ilyen kifinomult és fejlett kártevő szoftvert, akinek nincs hozzáférése a célpontul választott ipari környezetben működő, speciális eszközökhöz. Más szóval a támadók belső segítséget is kaphattak.

A Win32/Industroyer az ipari vezérlésben széleskörűen alkalmazott kommunikációs protokollok közül négyet is támogat, amelyeket az IEC 60870-5-101 (röviden IEC 101), az IEC 60870-5-104 (IEC 104), az IEC 61850 és az OLE for Process Control Data Access (OPC DA) szabványok határoznak meg.

Emellett a kártevő fejlesztői egy olyan, speciális eszközt is készítettek, amely szolgáltatásmegtagadás (angolul denial-of-service, DoS) típusú támadás alá veszi a Siemens SIPROTEC relécsaládjának tagjait. Az eszköz a CVE-2015-5374 számú sérülékenységet kihasználva teszi működésképtelenné a reléket, amelyek ezt követően nem válaszolnak semmilyen utasításra, amíg kézi úton újra nem indítják őket.

Rendkívül komoly fenyegetést jelent a Win32/Industroyer, mivel az elektromos hálózatok alállomásaiba épített kapcsolókat és áramkör-megszakítókat közvetlenül vezérlése alá vonja az említett protokollok révén, amelyeket világszerte alkalmaznak az olyan kritikus infrastruktúrákban is, mint a víz- és gázhálózatok, valamint a közlekedésirányító rendszerek.

Az ESET rámutatott, hogy ezeket a kommunikációs protokollokat évtizedekkel ezelőtt tervezték, mellőzve a kiberbiztonság szempontját, mivel az ipari vezérlőrendszerek akkoriban még nem csatlakoztak az internetre. A Win32/Industroyer fejlesztőinek így nem is kellett sérülékenységet keresniük a protokollokban, elegendő volt megtanítani a kártevőt azok rendeltetésszerű használatára.

Moduláris, áldozatra szabható keretrendszer

Az egy évvel korábban ugyancsak Ukrajna elektromos elosztó hálózatát ért és a 2015. december 23-i áramkimaradásban kicsúcsosodott kibertámadás során bevetett kártevő szoftverekhez (BlackEnergy, KillDisk és más komponensekhez) képest a Win32/Industroyer sokkal fejlettebb.

Moduláris keretrendszere nem is egy, hanem kettő hátsóajtó (backdoor) összetevőt tartalmaz. A hátsóajtót a bűnözők a támadás végrehajtásához használják, ez telepíti és irányítja a többi komponenst, kapcsolódik a távoli, ún. C&C (command and control) szerverhez, parancsokat fogad, illetve jelentéseket küld. Egy további hátsóajtó – amelyet jegyzettömb alkalmazásnak álcáztak – képes újra felvenni a kapcsolatot a megtámadott hálózattal, amennyiben a fő backdoort lelepleznék és leállítanák.

A Win32/Industroyer sokkal fejlettebb az eddig észlelt kártevőknél

A Win32/Industroyer más kártevőktől eltérően négy programkód komponenst (payload) használ, amelyeket az említett kommunikációs protokolloknak megfelelően az alállomásokon lévő kapcsolók és megszakítók feletti irányítás átvételére terveztek. Ezek a komponensek külön szakaszokban működnek, feladatuk, hogy feltérképezzék a hálózatot, majd kitalálják és kiadják a parancsokat a különféle ipari vezérlő rendszereknek.

Tartalmaz továbbá a keretrendszer egy egyedi fejlesztésű port szkennert, valamint egy adattörlő modult is a már említett DoS eszközön felül, amelyek arra szolgálnak, hogy eltüntessék a támadás nyomait, és megnehezítsék a rendszerek újraindítását. Az adattörlő – amely koncepcióját tekintve hasonlóságot mutat a BlackEnergy-támadásokkal – például törli a rendszer konfigurációs adatbázisában (a registryben) tárolt kulcsokat, felülírja a fájlokat, leállítja a futó folyamatokat és előidézi a gép összeomlását. 

Mindezek alapján az ESET arra figyelmeztet, hogy az elévült protokollokat használó ipari vezérlő rendszerek szabad prédát jelentenek a Win32/Industroyer számára.

Mivel álcázni tudja kitartó jelenlétét a megtámadott hálózatokban, és konfigurálható programkódjai révén bármilyen ipari környezet ellen bevethető, a kártevő szoftver rendkívül nagy veszélyt jelent. Éppen ezért a legutóbbi, ukrajnai támadás – függetlenül attól, hogy az a Win32/Industroyer tesztelése volt, vagy sem – ébresztőként kell, hogy szolgáljon mindazok számára, akik világszerte a kritikus infrastruktúrák biztonságáért felelnek.

Kapcsolódó cikkek
Asset 3
Hálózatfigyelés mesterfokon – már a kkv-knak is
A felhőalapú SecuReporterrel a kis- és középvállalkozások már alkalmazáson keresztül is figyelhetik hálózatukat, és bármikor, bárhonnan reagálhatnak az esetleges kibertámadásokra.
Asset 3
Játékkal keresik az ipari létesítmények sebezhetőségét
Etikus hekkerek segítségével hatolnak be ipari rendszerek hálózatába.
Asset 3
3,2 másodpercenként születik egy új kártevő
2017 első felében átlagosan majdnem ötven alkalommal ért vírustámadás minden egyes számítógépet. A kártevők 99 százaléka még mindig Windowsra készül, és minden 3,2 másodpercben születik egy új példány.