Компанія ESET — лідер у галузі проактивного виявлення — попереджає про появу складної та надзвичайно небезпечної шкідливої програми, призначеної для підриву важливих промислових процесів. Загроза, яку продукти ESET виявляються як Win32/Industroyer, могла бути використана під час атаки на українську енергосистему у 2016 році. Крім унікальних можливостей шкідливої програми для здійснення такої атаки, Industroyer містить позначку часу активації 17 грудня 2016 року – день відключення електроенергії.
Факт, що саме ця загроза була застосована під час атаки на українську енергосистему, поки остаточно не підтверджений. Однак, безсумнівно, Industroyer здатна спричинити істотну шкоду електроенергетичним системам та може бути адаптована для атаки на інші види критично важливої інфраструктури.
Рис. 1: Схема роботи Industroyer
Небезпека Industroyer полягає у здатності безпосередньо контролювати вимикачі та автоматичні перемикачі електричної підстанції. Для цього шкідлива програма використовує промислові протоколи зв'язку, які використовуються у всьому світі в інфраструктурі електроенергетики, системах управління транспортом та інших найважливіших системах інфраструктури. Ці вимикачі та автоматичні перемикачі є цифровими еквівалентами аналогових перемикачів; технічно вони можуть бути розроблені для виконання різних функцій. Таким чином, потенційний вплив загрози може варіюватися від простого виключення електроенергії, каскадних аварій до більш серйозного пошкодження обладнання. Припинення роботи таких систем може прямо або опосередковано впливати на функціонування сфери життєво важливих послуг.
Загроза Industroyer використовує існуючі протоколи, розроблені кілька десятиліть тому. На той час промислові системи були ізольовані від зовнішнього світу, тому їх протоколи зв’язку були розроблені без урахуванням вимог безпеки. У зв’язку з цим кіберзлочинцям не потрібно було шукати уразливості протоколів, а лише вміти використовувати протоколи для своїх цілей.
Нещодавнє відключення електроенергії сталося 17 грудня 2016 року, майже через рік після кібератаки, яка залишила без електроенергії 250 000 домогосподарств у деяких регіонах України 23 грудня 2015 року. Тоді кіберзлочинці проникли у мережу розподілу електроенергії завдяки шкідливій програмі BlackEnergy, до якої входили KillDisk та інші шкідливі компоненти, а потім несанкціоновано використали легальне програмне забезпечення віддаленого доступу для контролю робочих станцій операторів і відключення електроенергії. Крім спрямованості на українську енергосистему, немає очевидної подібності в коді між BlackEnergy та Industroyer.
Industroyer є модульною шкідливою програмою. Основним компонентом є бекдор, який використовується кіберзлочинцями для управління атакою. Зокрема бекдор встановлює та контролює інші компоненти, а також підключається до віддаленого серверу для отримання команд та надання інформації зловмисникам.
Від інших шкідливих програм, націлених на інфраструктуру, Industroyer відрізняє використання чотирьох компонентів, призначених для отримання прямого контролю над автоматичними вимикачами та перемикачами на підстанції розподілу електроенергії. Кожен з цих компонентів націлений на конкретні протоколи зв’язку, зазначені в наступних стандартах: IEC 60870-5-101, IEC 60870-5-104, IEC 61850 та OLE for Process Control Data Access (OPC DA).
Рис. 2: Компоненти шкідливої програми Industroyer
Шкідлива програма містить кілька функцій, розроблених для уникнення виявлення та забезпечення стійкості шкідливої програми, а також знищення слідів у системі після виконання своєї роботи.
Наприклад, зв'язок між командними серверами (C&C), прихований за допомогою Tor, може обмежуватися неробочими годинами. Крім того, програма використовує додатковий бекдор, замаскований під додаток Notepad. Шкідливий компонент призначений для відновлення доступу до певної мережі у разі, якщо основний бекдор був виявлений або відключений. А модуль очищення даних призначений для видалення системно важливих ключів реєстру та перезаписаних файлів для ускладнення відновлення та спричинення несправності системи.
Кіберзлочинці також розробили власний сканер портів, який створює схему мережі. Крім цього, в арсеналі зловмисників також є інструмент відмови в обслуговуванні (DoS), який використовує CVE-2015-5374 уразливість у пристроях Siemens SIPROTECT і може спричинити збої в роботі.
Завдяки своїй універсальності шкідлива програма Industroyer може бути використана для атаки на будь-яку систему управління виробничим процесом з використанням певних протоколів зв’язку. У той час як деякі з компонентів у проаналізованих зразках призначені для конкретного обладнання. Наприклад, компонент очищення і один з додаткових модулів пристосовані для використання в системах з певними продуктами для управління промислової потужністю від ABB. А компонент DoS спрямований саме на пристрої Siemens SIPROTECT, які використовуються в електричних підстанціях та інших суміжних галузях.
На думку спеціалістів ESET, здатність Industroyer залишатися в системі і безпосередньо втручатися в роботу промислових апаратних засобів робить її найбільш небезпечною шкідливою програмою для систем управління виробничими процесами після загрози Stuxnet, яка була виявлена в 2010 році та спрямована проти ядерного проекту Ірану.
Атака на українську електроенергетичну систему 2016 року привернула набагато менше уваги, ніж попередня атака у 2015 році. Проте Win32/Industroyer є передовою шкідливою програмою у руках винахідливих зловмисників. Завдяки своїй здатності зберігатися в системі і надавати цінну інформацію для налаштування додаткового модулю, кіберзлочинці можуть адаптувати шкідливу програму під будь-яке середовище, що робить її вкрай небезпечною. А нещодавня атака на українську енергетичну систему повинна стати тривожним сигналом для тих, хто відповідає за безпеку критично важливих систем у всьому світі.
Детальніше про загрозу Industroyer читайте на офіційному блозі ESET.