Az áramellátást veszélyezteti az új vírus

| forrás:
TF-információ
| olvasási idő: kb. 2 perc

Kritikus ipari folyamatok szabotálására tervezett kifinomult és rendkívül veszélyes kártevőt analizáltak az ESET szakértői. A szakemberek véleménye szerint a kiberbűnözők egy tavaly év végi, ukrán áramszolgáltatót érintő támadás során tesztelték a vírust.

Már lecsapott?

A 24 órás áramkimaradást okozó, 2016-ban lezajlott ukrán villamosenergia-hálózat elleni akció egy jól irányzott kibertámadás volt. Az ESET szakemberei felfedeztek és kielemeztek egy kártevőt, amelyet Win32/Industroyer néven azonosítottak, és pontosan ugyanilyen támadásokra képes.

Az, hogy a kártevőt valóban felhasználták-e egy nagyszabású tesztben a kiberbűnözők, még megerősítésre szorul, ettől függetlenül a vírus jelentős károkat képes okozni az elektromos rendszerekben, és más kritikus infrastruktúrákra is komoly veszélyt jelent.

Az Industroyer azért is nagyon veszélyes, mert képes közvetlenül irányítani a villamosenergia-alállomás kapcsolóit és megszakítóit. Ehhez olyan ipari kommunikációs protokollokat használ, amelyeket más ellátó infrastruktúrákban, szállításirányítási rendszerekben és más kritikus hálózatokban (víz, gáz) is világszerte alkalmaznak. Ezek a digitális kapcsolók és megszakítók olyanok, mint a hagyományos kapcsolók: különféle funkciók végrehajtására alkalmazhatók. Így a potenciális hatásuk az áramellátás lekapcsolásától a berendezések súlyosabb megkárosításáig terjedhet, és alállomásonként különböző is lehet, így a rendszerek megzavarása közvetlenül vagy közvetve létfontosságú szolgáltatások működését is befolyásolhatja.

Az Industroyer veszélyessége abban rejlik, hogy a kommunikációs protokollokat a használatra tervezett módon alkalmazza, azonban ezeket a protokollokat évtizedekkel ezelőtt tervezték, amikor a rendszereket elszigetelték a külvilágtól, így a biztonságra sem fektettek hangsúlyt. Ez azt jelenti, hogy a támadóknak nem kell a sérülékenységeket keresniük, csak meg kell tanítani a kártevőknek, hogyan kommunikáljanak ezekkel az ipari vezérlő protokollokkal.

A nemrégiben észlelt áramkimaradás 2016 december 17-én történt, pontosan egy évvel az alaposan dokumentált ukrajnai eset után, amely 250 ezer háztartást érintett. Ekkor a kiberbűnözők többek között a BlackEnergy és a KillDisk kártevőket alkalmazták. Azon kívül, hogy ukrán áramellátókat támadtak, a szakemberek nem találtak látható azonosságot a BlackEnergy és az Industroyer között.

Hogyan működik az Industroyer?

Az Industroyer egy moduláris kártevő. Fő összetevője egy hátsóajtó (backdoor), amelyet bűnözők a támadás végrehajtásához használnak: telepíti és irányítja a többi komponenst, kapcsolódik a távoli szerverhez, parancsokat fogad, illetve jelentést küld a támadóknak.

Az Industroyert az különbözteti meg más kártevőktől, hogy négy programkód komponenst (payload) használ, amelyeket az alállomásokon lévő kapcsolók és megszakítók irányításának átvételére terveztek. Ezek a komponensek külön szakaszokban működnek, feladatuk, hogy feltérképezzék a hálózatot, majd kitalálják és kiadják a parancsokat a különféle ipari irányítórendszerekhez. Az Industroyer kártevő által használt programkód azt mutatja, hogy írójuk komoly szakmai tudással rendelkezik az ipari irányítórendszerek működéséről.

A kártevő néhány olyan speciális további funkciót is tartalmaz, amelyek arra szolgálnak, hogy a vírus rejtve maradhasson és eltüntesse saját működésének nyomait a károkozás végeztével. Például a távoli C&C szerverrel való kommunikációt a Tor hálózaton keresztül valósították meg, ahol a forgalom olyan módon is korlátozható, hogy az kizárólag a szokásos munkaidőn kívül történjen.

Egy további hátsóajtó – amelyet jegyzettömb alkalmazásnak álcáztak – képes újra felvenni a kapcsolatot a megtámadott hálózattal, amennyiben a fő backdoor-t leleplezték és/vagy leállították. A törlőmodul arra szolgál, hogy a rendszerben kritikus registry kulcsokat töröljön, és felülírja a fájlokat, így a rendszer újraindítása nem lehetséges és a visszaállítás is nehezebbé válik.

Konklúzió

Az Industroyer egy rendkívül testreszabható kártevő. Miközben számos célra használható, az ipari irányítórendszerek elleni támadásra is jól alkalmazható a megcélzott kommunikációs protokollok révén, néhány elemzett programkomponens pedig meghatározott hardvereket támad meg.

Bár nehéz végrehajtani egy vírustámadást helyszíni reagálás nélkül, nagyon valószínű, hogy 2016 decemberében az ukrajnai áramellátót érintő támadásnál az Industroyert használták a kiberbűnözők. Ezt a kártevő felismerhető, egyedi funkciói mellett egy felfedezett időbélyegző is bizonyítja, amelyet pontosan a támadás napjára időzítettek.

"A 2016-os ukrajnai támadás nem kapott akkora figyelmet, mint az egy évvel korábbi akció, azonban akár teszt volt az akció, akár nem, komoly figyelmeztetésnek kell szolgálnia a világszerte megtalálható kritikus rendszerek biztonságával kapcsolatban" - hívják fel a figyelmet a szakértők.

Hirdetés
Brexit

Nagyjából 1,2 millió munkahely szűnhet meg az Európai Unióban, ha nem...

Törökország egyszerre sodródik az unió felé, és a jogállamiságtól el, és...

Téli kikapcsolódás az Alpokban

Az ausztriai téli üdülés az életöröm igazán különleges formája, amely során...

Forex mazsoláknak

Rövid poszt következik. Szembe kell néznem ugyanis néhány dolgokkal.

http://www.AutoAlkatreszONLINE24.hu
Hirdetés
Szavazz!

Radikalizálódik Közép-Európa?

Egy olyan pártnak jósolnak 10 százalék feletti eredményt, amelynek vezetője...

Kell nekünk az euró?

Újra fellángolt a vita, hogy vajon bevezetik-e nálunk az eurót, s ha igen,...

Külföldre megyünk orvoshoz?

Egyre durvább a magyarországi orvoshiány. Ami ráadásul, már közép-európai...

Vagyon

Miközben szeptemberben újra hatmilliárd forint fölé emelkedett a...

A befektetési alapok vagyona szeptemberben 58 milliárd forinttal, 1...

Hirdetés
Találtuk

Ilyen hurrikánt még nem látott Európa

Meteorológiai kuriózum az Ophelia hurrikán, amely hétfőn éri el a...

Melyik magyar szálloda a Facebook királya?

Több mint hatezer Facebook-rajongót gyűjtött idén nyáron a Tisza Balneum...

Hirdetés
Ezt olvasta már?

Túlterheléssel esnek neki a vállalatoknak »