В декабре прошлого года кибер-атака на украинскую электроэнергетическую сеть привела к отключению электроэнергии в северной части Киева — столице страны и прилегающих районах. Но только теперь специалисты по компьютерной безопасности смогли обнаружить виновника этих кибератак на украинские промышленные системы управления.
Компания ESET, создатель антивирусного программного обеспечения из Словакии и специализирующаяся на защите критически важных инфраструктур компания Dragos Inc. заявили, что обнаружили новую опасную вредоносную программу, которая нацелена на критически важные промышленные системы управления и способна вызывать отключения электроэнергии.
В кибер-атаке в декабре 2016 года против украинской электросети «Укрэнерго» был использован червь «Industroyer» или «CrashOverRide» (Industroyer/CrashOverRide). Это новое, очень продвинутое вредоносное ПО для саботажа электросетей. По мнению специалистов по компьютерной безопасности CrashOverRide на сегодня является самой большой угрозой для промышленных систем управления после Stuxnet — первой вредоносной программы, предположительно разработанной США и Израилем для саботажа иранских ядерных объектов в 2009 году.
В отличие от червя Stuxnet, CrashOverRide не использует уязвимости программного обеспечения «нулевого дня» для выполнения своих вредоносных действий. Вместо этого он опирается на четыре протокола промышленной связи, используемые во всем мире в инфраструктуре электроснабжения, системах управления транспортом и других критически важных инфраструктурных системах.
Вредоносная программа CrashOverRide может управлять коммутаторами и автоматическими выключателями электрических подстанций, разработанными десятилетиями назад, позволяя злоумышленнику просто отключить распределение мощности, вызвав тем самым каскадные сбои подачи электроэнергии. Возможно даже причинение непоправимого ущерба самому управляющему оборудованию.
Индустриальный вредоносный код — это бэкдор, который сначала устанавливает четыре компонента полезной нагрузки для управления коммутаторами и автоматическими выключателями. Далее червь подключается к удаленному серверу управления для приема команд от злоумышленников.
Как говорят специалисты из ESET «Полезная нагрузка CrashOverRide показывают глубокие знания своих разработчиков в организации управления промышленными системами. Кроме того, вредоносная программа несет ряд дополнительных функций, позволяющих ей скрываться от сканеров антивирусов и удалять все следы своего вмешательства в компьютерную систему. На сегодняшний день существуют всего четыре вирусные программы, нацеленные на промышленные системы управления. Это печально известный Stuxnet, Havex, BlackEnergy и теперь, получается CrashOverRide. Но в отличие от Havex и BlackEnergy, предназначенных для промышленного шпионажа, CrashOverRide как и Stuxnet — это программа для саботажа».
В компании Dragos говорят о новом черве практически то же самое: «Функции и структура CrashOverRide не служит цели промышленного шпионажа. Единственная реальная особенность этого вредоносного ПО — атака систем управления, которая приведет к электрическим отключениям».
Анализ нового вредоносного ПО предполагает, что CrashOverRide, если он будет работать в полную силу, может привести к перебоям в подаче электроэнергии гораздо более глобальным, нежели те что были в декабре 2016-го на Украине.
Вредоносная программа включает в себя взаимозаменяемые, подключаемые компоненты, которые могут позволить CrashOverRide использовать большой спектр утилит для управления электроэнергией или даже запускать одновременные атаки на несколько целей. Более того: в зависимости от подключенных к вирусу дополнительных модулей он может применяться и для удара по другим инфраструктурам, таким как транспорт, газопроводы или даже гидроэлектростанции.
Анализируя программный код CrashOverRide эксперты пришли к заключению, что скорее всего вирус разработан хакерской группой из России, в свое время создавшей червь Sandworm.
СЦЕНАРИЙ НОЧНОГО КОШМАРА ДЛЯ США
Всего несколько недель назад буквально миллионы компьютеров по всему миру были внезапно атакованы компьютерным червем «WannaCry», разработанному Агентством национальной безопасности США. Это вредоносное ПО блокировало сервера и рабочие станции, требуя чтобы инфицированные пользователи выплатили злоумышленникам 300 долларов США в течение нескольких дней. Или цена автоматически повышалась до 600 долларов. Если же деньги на счет злоумышленника так и не поступали — вся информация на дисках инфицированного компьютера полностью уничтожалась.
Сценарий ночного кошмара» — это соединение Industroyer/CrashOverRide с модулем «выкупа», таким какой был использован в Wannacry. Если это вредоносное ПО заразит управляющие системы, то первое с чем столкнуться их операторы — они не смогут получить доступ ни к одному выключателю или системному трансформатору ибо за доступ нужно будет заплатить выкуп.
Поскольку персонал электросетей физически контролирует и трансформаторы, и все большие рубильники, он может обойтись и без выкупа. Но проблема в том, что вирус уничтожит в каждом из этих устройств заводскую прошивку и чтобы всё везде поменять потребуется как минимум месяц. МЕСЯЦ, который половина, если не все США будут сидеть в темноте и без электричества! Что конкретно ВЫ будете делать, если у вас в доме 30 суток не будет света?
Оценили 13 человек
12 кармы