Industroyer – atakuje instalacje przemysłowe

Niebezpieczeństwo związane z tym programem bierze się przede wszystkim z jego możliwości bezpośredniego sterowania elementami kontrolnymi stacji energetycznych i urządzeń przesyłowych odpowiedzialnych za dostawy paliw (np. gazu) lub wody. Cyberprzestępcy opracowali kod, który – o ile tylko przedostanie się do infrastruktury przemysłowej – jest zdolny zakłócić pracę obiektów strategicznych z punktu widzenia gospodarki państwa.
malware - ilustracja
malware - ilustracja
elektrownia
Nowe zagrożenie może zablokować pracę elektrowni (fot. pixabay)

Industroyer jest zagrożeniem zdolnym do komunikacji za pomocą protokołów przemysłowych. Co ważne, ten malware nie wykorzystuje żadnych luk, lecz po prostu potrafi korzystać z form łączności i wymiany danych stosowanych na całym świecie w sieciach zasilających, systemach kontroli transportu itp.

Jak to w ogóle możliwe, że tego typu kod mógł powstać? Industroyer to efekt niefrasobliwości ludzkiej we wdrażaniu systemów łączności. Protokoły przemysłowe zaprojektowano kilkadziesiąt lat temu, kiedy sieci odpowiedzialne za sterowanie krytycznymi elementami infrastruktury przemysłowej w żaden sposób nie były połączone z internetem. Fakt, że sieci przemysłowe były odizolowane od sieci publicznych spowodował, że nie wypracowano w wykorzystywanych po dziś dzień protokołach przemysłowych należytych zabezpieczeń. Skuteczność Stuxnetu – pierwszego “popularnego” cyberzagrożenia atakującego instalacje przemysłowe pokazuje, że całkowita izolacja nie istnieje.

schemat działania zagrożenia Industroyer
Uproszczony schemat komponentów Industroyera (fot. ESET)

Industroyer jest – podobnie jak Stuxnet – zaawansowanym zagrożeniem modułowym. Podstawowym składnikiem jest backdoor, za pomocą którego agresorzy mogą zarządzać atakiem, a także sterować pozostałymi komponentami złośliwego oprogramowania. Zainfekowany system automatycznie łączy się z serwerem C&C (Command and Control) agresorów (poprzez sieć Tor, co utrudnia jego wykrycie) i oczekuje na dalsze instrukcje, jak również przesyła raporty z własnej działalności. Wyróżnikiem Industroyera spośród podobnych złośliwych programów jest to, że najnowsze zagrożenie potrafi przejąć bezpośrednią kontrolę nad przełącznikami w stacjach dystrybucji energii elektrycznej.

Eksperci podejrzewają, że udany atak na ukraińską sieć energetyczną, który miał miejsce w 2016 roku to był niejako “poligon doświadczalny” dla Industroyera. Oczywiście, to tylko poszlaki. Nie da się udowodnić powiązania bez ścisłej współpracy ze stroną ukraińską (potrzebna jest analiza incydentu w miejscu zdarzenia), niemniej Kamil Sadkowski, analityk zagrożeń z firmy ESET zauważa, że w kodzie Industroyera istnieje aktywator ustawiony na 17 grudnia 2016 roku, czyli datę dokładnie odpowiadającą okresowi wystąpienia przerw w dostawie energii u naszego wschodniego sąsiada.

Przypomnijmy, że celem Stuxnetu były m.in. wirówki uranu stosowane w irańskiej elektrowni nuklearnej. W jaki sposób Stuxnet “dotarł” do sterowników tych wirówek? Przez niefrasobliwość jednego z pracowników, którzy przeniósł złośliwy kod z sieci publicznej na przenośnym nośniku danych. Podobny czarny scenariusz w przypadku Industroyera może przynieść opłakane skutki. | CHIP