Tavaly év végén volt egy 24 órás áramkimaradást okozó leállás Ukrajnában, ami 250 ezer háztartást érintett és amiről kiderült, hogy az egy jól irányzott kibertámadás volt az ukrán villamosenergia-hálózat ellen. Az ESET szakemberei beazonosítottak és kielemeztek egy Win32/Industroyer nevű kártevőt, amely pontosan ugyanilyen támadásokra képes.
Az viszont, hogy a kártevőt valóban felhasználták-e egy nagyszabású tesztben a kiberbűnözők, még megerősítésre vár, de ettől függetlenül a vírus jelentős károkat képes okozni az elektromos rendszerekben, és más kritikus infrastruktúrákra is komoly veszélyt jelent - hívja fel a figyelmet az ESET.
Mit tud az Industroyer
Az Industroyer képes közvetlenül irányítani a villamosenergia-alállomás kapcsolóit és megszakítóit. Ehhez olyan ipari kommunikációs protokollokat használ, amelyeket más ellátó infrastruktúrákban, szállításirányítási rendszerekben és más kritikus hálózatokban (víz, gáz) is világszerte alkalmaznak. Ezek a digitális kapcsolók és megszakítók olyanok, mint a hagyományos kapcsolók - mutat rá az ESET. Különféle funkciók végrehajtására alkalmazhatók, így a potenciális hatásuk az áramellátás lekapcsolásától a berendezések súlyosabb megkárosításáig terjedhet, és alállomásonként különböző is lehet, így a rendszerek megzavarása közvetlenül vagy közvetve létfontosságú szolgáltatások működését is befolyásolhatja.
Mivel ezeket a protokollokat évtizedekkel ezelőtt tervezték, amikor a rendszereket elszigetelték a külvilágtól, a biztonságra sem fektettek nagy hangsúlyt. Ez viszont azt is jelenti, hogy a támadóknak nem kell a sérülékenységeket keresniük, csak meg kell tanítani a kártevőknek, hogyan kommunikáljanak ezekkel az ipari vezérlő protokollokkal.
Rendkívül jól alkalmazható
Az Industroyer egy rendkívül testreszabható kártevő: miközben számos célra használható, az ipari irányítórendszerek elleni támadásra is jól alkalmazható a megcélzott kommunikációs protokollok révén, néhány elemzett programkomponens pedig meghatározott hardvereket támad meg.
Bár nehéz végrehajtani egy vírustámadást helyszíni reagálás nélkül, nagyon valószínű, hogy 2016 decemberében az ukrajnai áramellátót érintő támadásnál az Industroyert használták a kiberbűnözők - vélik az ESET szakemberei, akik azt is hagsúlyozzák, hogy akár teszt volt az akció, akár nem, komoly figyelmeztetésnek kell szolgálnia a világszerte megtalálható kritikus rendszerek biztonságával kapcsolatban.