Az áramellátást veszélyezteti az új vírus

| forrás:
TF-információ
| olvasási idő: kb. 2 perc

Kritikus ipari folyamatok szabotálására tervezett kifinomult és rendkívül veszélyes kártevőt analizáltak az ESET szakértői. A szakemberek véleménye szerint a kiberbűnözők egy tavaly év végi, ukrán áramszolgáltatót érintő támadás során tesztelték a vírust.

Már lecsapott?

A 24 órás áramkimaradást okozó, 2016-ban lezajlott ukrán villamosenergia-hálózat elleni akció egy jól irányzott kibertámadás volt. Az ESET szakemberei felfedeztek és kielemeztek egy kártevőt, amelyet Win32/Industroyer néven azonosítottak, és pontosan ugyanilyen támadásokra képes.

Az, hogy a kártevőt valóban felhasználták-e egy nagyszabású tesztben a kiberbűnözők, még megerősítésre szorul, ettől függetlenül a vírus jelentős károkat képes okozni az elektromos rendszerekben, és más kritikus infrastruktúrákra is komoly veszélyt jelent.

Az Industroyer azért is nagyon veszélyes, mert képes közvetlenül irányítani a villamosenergia-alállomás kapcsolóit és megszakítóit. Ehhez olyan ipari kommunikációs protokollokat használ, amelyeket más ellátó infrastruktúrákban, szállításirányítási rendszerekben és más kritikus hálózatokban (víz, gáz) is világszerte alkalmaznak. Ezek a digitális kapcsolók és megszakítók olyanok, mint a hagyományos kapcsolók: különféle funkciók végrehajtására alkalmazhatók. Így a potenciális hatásuk az áramellátás lekapcsolásától a berendezések súlyosabb megkárosításáig terjedhet, és alállomásonként különböző is lehet, így a rendszerek megzavarása közvetlenül vagy közvetve létfontosságú szolgáltatások működését is befolyásolhatja.

Az Industroyer veszélyessége abban rejlik, hogy a kommunikációs protokollokat a használatra tervezett módon alkalmazza, azonban ezeket a protokollokat évtizedekkel ezelőtt tervezték, amikor a rendszereket elszigetelték a külvilágtól, így a biztonságra sem fektettek hangsúlyt. Ez azt jelenti, hogy a támadóknak nem kell a sérülékenységeket keresniük, csak meg kell tanítani a kártevőknek, hogyan kommunikáljanak ezekkel az ipari vezérlő protokollokkal.

A nemrégiben észlelt áramkimaradás 2016 december 17-én történt, pontosan egy évvel az alaposan dokumentált ukrajnai eset után, amely 250 ezer háztartást érintett. Ekkor a kiberbűnözők többek között a BlackEnergy és a KillDisk kártevőket alkalmazták. Azon kívül, hogy ukrán áramellátókat támadtak, a szakemberek nem találtak látható azonosságot a BlackEnergy és az Industroyer között.

Hogyan működik az Industroyer?

Az Industroyer egy moduláris kártevő. Fő összetevője egy hátsóajtó (backdoor), amelyet bűnözők a támadás végrehajtásához használnak: telepíti és irányítja a többi komponenst, kapcsolódik a távoli szerverhez, parancsokat fogad, illetve jelentést küld a támadóknak.

Az Industroyert az különbözteti meg más kártevőktől, hogy négy programkód komponenst (payload) használ, amelyeket az alállomásokon lévő kapcsolók és megszakítók irányításának átvételére terveztek. Ezek a komponensek külön szakaszokban működnek, feladatuk, hogy feltérképezzék a hálózatot, majd kitalálják és kiadják a parancsokat a különféle ipari irányítórendszerekhez. Az Industroyer kártevő által használt programkód azt mutatja, hogy írójuk komoly szakmai tudással rendelkezik az ipari irányítórendszerek működéséről.

A kártevő néhány olyan speciális további funkciót is tartalmaz, amelyek arra szolgálnak, hogy a vírus rejtve maradhasson és eltüntesse saját működésének nyomait a károkozás végeztével. Például a távoli C&C szerverrel való kommunikációt a Tor hálózaton keresztül valósították meg, ahol a forgalom olyan módon is korlátozható, hogy az kizárólag a szokásos munkaidőn kívül történjen.

Egy további hátsóajtó – amelyet jegyzettömb alkalmazásnak álcáztak – képes újra felvenni a kapcsolatot a megtámadott hálózattal, amennyiben a fő backdoor-t leleplezték és/vagy leállították. A törlőmodul arra szolgál, hogy a rendszerben kritikus registry kulcsokat töröljön, és felülírja a fájlokat, így a rendszer újraindítása nem lehetséges és a visszaállítás is nehezebbé válik.

Konklúzió

Az Industroyer egy rendkívül testreszabható kártevő. Miközben számos célra használható, az ipari irányítórendszerek elleni támadásra is jól alkalmazható a megcélzott kommunikációs protokollok révén, néhány elemzett programkomponens pedig meghatározott hardvereket támad meg.

Bár nehéz végrehajtani egy vírustámadást helyszíni reagálás nélkül, nagyon valószínű, hogy 2016 decemberében az ukrajnai áramellátót érintő támadásnál az Industroyert használták a kiberbűnözők. Ezt a kártevő felismerhető, egyedi funkciói mellett egy felfedezett időbélyegző is bizonyítja, amelyet pontosan a támadás napjára időzítettek.

"A 2016-os ukrajnai támadás nem kapott akkora figyelmet, mint az egy évvel korábbi akció, azonban akár teszt volt az akció, akár nem, komoly figyelmeztetésnek kell szolgálnia a világszerte megtalálható kritikus rendszerek biztonságával kapcsolatban" - hívják fel a figyelmet a szakértők.

Hirdetés
Brexit

Újabb tekintélyes pénzügyi szolgáltató cég, jelesül a Morgan Stanley, állt be...

Megszűnik az Európai Unió Bíróságának közvetlen hatásköre az Egyesült...

Forex mazsoláknak

Ha hallottál már az NFP-ről, azért, ha még nem, akkor azért. Rendhagyó...

Hirdetés
Szavazz!

Hozzászoktunk a terrorhoz?

A barcelonai merénylet immár a nyolcadik teherautós terrorcselekmény volt...

Világgazdasági válságot gerjeszt Korea?

Nem a háborús konfliktus az egyetlen veszélye az Egyesült Államok és...

Nyáron felelőtlenebbek vagyunk?

Vajon csak a tömegszerűség hat ilyenkor, vagy tényleg fellazulunk a melegben....

Vagyon

A második negyedévben nőtt a háztartások pénzügyi vagyona 874...

Újabb észak-koreai magánszemélyek és vállalatok ellen rendelt el szankciókat...

Hirdetés
Találtuk

Megtalálták a világháború egyik legkultikusabb hadihajóját

Hetvenkét évvel eltűnése után megtalálták a második világháború végén...

Vasárnaptól utazhatsz nosztalgia HÉV-en

Az idén 130 éves budapesti hévközlekedés méltó ünnepléseként a vasút...

Hirdetés
Ezt olvasta már?

Megtalálják a gyengepontot a kibertámadók »

ANY 1381 (0,58 ) APPENINN 366 (-4,94 ) CIGPANNONIA 259 (-4,07 ) CSEPEL 1120 (4,09 ) Duna House A 3700 (-0,54 ) ELMU 23550 (-0,63 ) EMASZ 21600 (-0,23 ) ENEFI 277 (19,91 ) ESTMEDIA 5 (4,55 ) FHB 511 (0,39 ) FORRAS/OE 969 (-4,15 ) FUTURAQUA 33 (3,12 ) GSPARK 3846 (-0,13 ) KONZUM 1937 (-0,36 ) KPACK 7842 (20,00 ) MASTERPLAST 535 (-0,56 ) MOL 23550 (0,73 ) MTELEKOM 479 (-0,21 ) NORDTELEKOM 15 (15,38 ) NUTEX 86 (-2,27 ) OPIMUS 201 (-0,50 ) OTP 10345 (0,10 ) OTT1 50 (4,17 ) PANNERGY 443 (1,14 ) PVALTO 1725 (2,99 ) RABA 1289 (-0,77 ) RICHTER 6660 (0,68 ) WABERERS 5065 (-0,49 ) ZWACK 16850 (-0,30 )