Компания ESET — лидер в области проактивного обнаружения — предупреждает о появлении сложной и чрезвычайно опасной вредоносной программы, предназначенной для подрыва важных промышленных процессов. Угроза, которую продукты ESET выявляют как Win32/Industroyer, могла быть использована во время атаки на украинскую энергосистему в 2016 году. Кроме уникальных возможностей вредоносной программы для осуществления такой атаки, Industroyer содержит отметку времени активации 17 декабря 2016 — день отключения электроэнергии.
Тот факт, что именно эта угроза была применена во время атаки на украинскую энергосистему, пока окончательно не подтвержден. Однако, несомненно, Industroyer способна нанести существенный вред электроэнергетическим системам и может быть адаптирована для атаки на другие виды критически важной инфраструктуры.
Рис. 1: Схема работы Industroyer
Опасность Industroyer заключается в способности непосредственно контролировать выключатели и автоматические переключатели электрической подстанции. Для этого вредоносная программа использует промышленные протоколы связи, которые используются во всем мире в инфраструктуре электроэнергетики, системах управления транспортом и других важнейших системах инфраструктуры. Эти выключатели и автоматические переключатели являются цифровыми эквивалентами аналоговых переключателей; технически они могут быть разработаны для выполнения различных функций. Таким образом, потенциальное воздействие угрозы может варьироваться от простого выключения электроэнергии, каскадных аварий к более серьезному повреждению оборудования. Прекращение работы таких систем может прямо или косвенно влиять на функционирование сферы жизненно важных услуг.
Угроза Industroyer использует существующие протоколы, разработанные несколько десятилетий назад. В то время промышленные системы были изолированы от внешнего мира, поэтому их протоколы связи были разработаны без учета требований безопасности. В связи с этим киберпреступникам не нужно было искать уязвимости протоколов, а только уметь использовать протоколы для своих целей.
Недавнее отключение электроэнергии произошло 17 декабря 2016 года, почти через год после кибератаки, которая оставила без электроэнергии 250 000 домохозяйств в некоторых регионах Украины 23 декабря 2015 года. Тогда киберпреступники проникли в сеть распределения электроэнергии благодаря вредоносной программе BlackEnergy, в которую входили KillDisk и другие вредоносные компоненты, а затем не санкционированно использовали легальное программное обеспечение удаленного доступа для контроля рабочих станций операторов и отключения электроэнергии. Кроме целенаправленности на украинскую энергосистему, нет очевидного сходства в коде между BlackEnergy и Industroyer.
Industroyer является модульной вредоносной программой. Основным компонентом является бэкдор, который используется киберпреступниками для управления атакой. В частности, бэкдор устанавливает и контролирует другие компоненты, а также подключается к удаленному серверу для получения команд и предоставление информации злоумышленникам.
От других вредоносных программ, нацеленных на инфраструктуру, Industroyer отличает использование четырех компонентов, предназначенных для получения прямого контроля над автоматическими выключателями и переключателями на подстанции распределения электроэнергии. Каждый из этих компонентов нацелен на конкретные протоколы связи, указанные в следующих стандартах: IEC 60870-5-101, IEC 60870-5-104, IEC 61850 и OLE for Process Control Data Access (OPC DA).
Рис. 2: Компоненты вредоносной программы Industroyer
Вредоносная программа содержит несколько функций, разработанных для избежания обнаружения и обеспечения устойчивости вредоносной программы, а также уничтожения следов в системе после выполнения своей работы.
Например, связь между командными серверами (C&C), скрытая с помощью Tor, может ограничиваться нерабочими часами. Кроме того, программа использует дополнительный бэкдор, замаскированный под приложение Notepad. Вредоносный компонент предназначен для восстановления доступа к определенной сети в случае, если основной бэкдор был обнаружен или отключен. А модуль очистки данных предназначен для удаления системно важных ключей реестра и перезаписанных файлов для осложнения восстановления и причинения неисправности системы.
Киберпреступники также разработали собственный сканер портов, который создает схему сети. Кроме этого, в арсенале злоумышленников также есть инструмент отказа в обслуживании (DoS), который использует CVE-2015-5374 уязвимость в устройствах Siemens SIPROTECT и может вызывать сбои в работе.
Благодаря своей универсальности вредоносная программа Industroyer может быть использована для атаки на любую систему управления производственным процессом с использованием определенных протоколов связи. В то время как некоторые из компонентов в проанализированных образцах предназначены для конкретного оборудования. Например, компонент очистки и один из дополнительных модулей приспособлены для использования в системах с определенными продуктами для управления промышленной мощностью от ABB. А компонент DoS направлен именно на устройства Siemens SIPROTECT, которые используются в электрических подстанциях и других смежных отраслях.
По мнению специалистов ESET, способность Industroyer оставаться в системе и непосредственно вмешиваться в работу промышленных аппаратных средств делает ее наиболее опасной вредоносной программой для систем управления производственными процессами после угрозы Stuxnet, которая была обнаружена в 2010 году и направлена против ядерного проекта Ирана.
Атака на украинскую электроэнергетическую систему 2016 года привлекла гораздо меньше внимания, чем предыдущая атака в 2015 году. Однако Win32/Industroyer является передовой вредоносной программой в руках изобретательных злоумышленников. Благодаря своей способности сохраняться в системе и предоставлять ценную информацию для настройки дополнительного модуля, киберпреступники могут адаптировать вредоносную программу под любую среду, что делает ее крайне опасной. А недавняя атака на украинскую энергетическую систему должна стать тревожным сигналом для тех, кто отвечает за безопасность критически важных систем во всем мире.
Подробнее об угрозе Industroyer читайте на официальном блоге ESET.