Nyílt titok, hogy a 2010-ben elterjedt Stuxnet amerikai és izraeli katonai forrásokból származik. A vírus elsődleges célja az volt, hogy káoszt teremtsen az iráni Natanz urándúsító üzemének működésében. Időközben persze a kártevő (mint a vírusok általában) irányíthatatlanná vált, és fertőzni kezdett világszerte.
A Stuxnet, és a később megjelenő mutációi (például a 2011-ben felfedezett Duqu és a Magyarországra is célzó Flamer) komoly károkat okoztak a Közel-Kelet mellett Európában, de a sors furcsa fintoraként még az Egyesült Államokba is visszaszivárogtak. Fontos közös tulajdonságuk, hogy még az internettől és egyéb külső hálózatoktól teljesen izolált rendszerekbe is képesek behatolni.
Elavult ipari protokollok
Az ESET szakértői fedeztek fel egy, állításuk szerint a Stuxnethez mérhető veszélyt jelentő malware-t, melyet Industroyer – az angol industry (ipar) és megsemmisítő (destroyer) szavak összevonásából képezve – névre kereszteltek. Vélekedésük szerint a 2015-ös ukrajnai erőmű elleni kibertámadáshoz (lásd keretes írásunk) hasonló események fenyegetik a kritikus fontosságú infrastruktúrákat. Azt egyelőre nem tudták meghatározni a szlovák szakemberek, hogy mennyiben tér el az akkor fertőző digitális kártevőtől, de szerintük nem csak az elektromos hálózatok, hanem más, szintén kritikus rendszerek is veszélyben lehetnek.
Ennek oka, hogy azokat a szerte a világban használt ipari kommunikációs protokollokat használja saját céljaira az Industroyer, amik például elektromos hálózatok üzemeltetésére, közlekedésellenőrző rendszerek működtetésére alkalmazott elektromos switch-ekben és megszakítókban találhatók. Anton Cherepanov, a biztonsági cég malware-kutatója, kifejtette, hogy ezek az eszközök képesek a hálózat elektromos ellátásának lekapcsolására, sőt, bizonyos esetekben a hálózat egyes elemeinek tönkretételére is.
Az a probléma, hogy a fent említett protokollok évtizedekkel ezelőtt jöttek létre, amikor az ipari rendszerek még különállóak voltak a külvilágtól, így biztonsági kérdések fel sem merültek fejlesztésükkor. Azóta azonban sokat változott a világ, ma már a kritikus infrastruktúrák egy része megközelíthető IP infrastruktúra irányából – az ipari protokollok pedig ennek sikeres megtörését követően védtelenül állnak a támadók előtt.
Nyom nélkül eltűnik
Hátsó kapun keresztül indítja a támadást az Industroyer; önmaga telepítését követően kiegészítőit is elhelyezi a célpont rendszeren, majd egy távoli szerverhez csatlakozva vár utasításra, illetve jelent a támadóknak. A malware kódja négy ártalmas komponenst is tartalmaz, ami azt mutatja, hogy alkotójának egészen mély ismeretei vannak az ipari ellenőrző rendszerek működéséről.
Természetesen a digitális kártevő tevékenységének elrejtésére is rendelkezik eszközökkel, sőt, alkotója arra is ügyelt, hogy ha elvégezte dolgát, akkor nyom nélkül eltakarítsa saját magát a rendszerből. Testre szabott működéssel bír, speciális hardvereket lehet vele támadni. Az elemzés szerint például az ABB gyártmányú ipari energiavezérlő-eszközök ellen használható, de DoS komponense már a Siemens SIPROTECT eszközei ellen lett létrehozva.
Cherepanov szerint biztosat ugyan nem lehet állítani, de nagyon valószínű, hogy az Industroyer vagy annak valamilyen variánsa támadta meg az ukrán erőművet 2015 végén.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak