Nyílt titok, hogy a 2010-ben elterjedt Stuxnet amerikai és izraeli katonai forrásokból származik. A vírus elsődleges célja az volt, hogy káoszt teremtsen az iráni Natanz urándúsító üzemének működésében. Időközben persze a kártevő (mint a vírusok általában) irányíthatatlanná vált, és fertőzni kezdett világszerte.

A Stuxnet, és a később megjelenő mutációi (például a 2011-ben felfedezett Duqu és a Magyarországra is célzó Flamer) komoly károkat okoztak a Közel-Kelet mellett Európában, de a sors furcsa fintoraként még az Egyesült Államokba is visszaszivárogtak. Fontos közös tulajdonságuk, hogy még az internettől és egyéb külső hálózatoktól teljesen izolált rendszerekbe is képesek behatolni.

Egy állománnyal kicsinálható az energiahálózat

2015 karácsonya előtt egy nappal Ukrajnában egy hackertámadás súlyos áramkimaradásokat okozott, ismét a figyelem középpontjába kerültek az ipari vezérlőrendszerek. Az ESET kutatói már akkor észrevették, hogy a fertőzés nem elszigetelt jelenség. Több más áramszolgáltató is ki volt téve a támadásoknak.

Azt az ukrán CERT (Community Emergency Response Team) derítette ki, hogy a BlackEnergy feladata az volt, hogy egy KillDisk nevű trójait juttasson az energiaszolgáltató rendszereibe. A KillDisk durván dolgozott: ha sikerült fertőznie, akkor ott már csak a teljes újratelepítés segített.

Elavult ipari protokollok

Az ESET szakértői fedeztek fel egy, állításuk szerint a Stuxnethez mérhető veszélyt jelentő malware-t, melyet Industroyer – az angol industry (ipar) és megsemmisítő (destroyer) szavak összevonásából képezve – névre kereszteltek. Vélekedésük szerint a 2015-ös ukrajnai erőmű elleni kibertámadáshoz (lásd keretes írásunk) hasonló események fenyegetik a kritikus fontosságú infrastruktúrákat. Azt egyelőre nem tudták meghatározni a szlovák szakemberek, hogy mennyiben tér el az akkor fertőző digitális kártevőtől, de szerintük nem csak az elektromos hálózatok, hanem más, szintén kritikus rendszerek is veszélyben lehetnek.

Ennek oka, hogy azokat a szerte a világban használt ipari kommunikációs protokollokat használja saját céljaira az Industroyer, amik például elektromos hálózatok üzemeltetésére, közlekedésellenőrző rendszerek működtetésére alkalmazott elektromos switch-ekben és megszakítókban találhatók. Anton Cherepanov, a biztonsági cég malware-kutatója, kifejtette, hogy ezek az eszközök képesek a hálózat elektromos ellátásának lekapcsolására, sőt, bizonyos esetekben a hálózat egyes elemeinek tönkretételére is.

Az a probléma, hogy a fent említett protokollok évtizedekkel ezelőtt jöttek létre, amikor az ipari rendszerek még különállóak voltak a külvilágtól, így biztonsági kérdések fel sem merültek fejlesztésükkor. Azóta azonban sokat változott a világ, ma már a kritikus infrastruktúrák egy része megközelíthető IP infrastruktúra irányából – az ipari protokollok pedig ennek sikeres megtörését követően védtelenül állnak a támadók előtt.

Nyom nélkül eltűnik

Hátsó kapun keresztül indítja a támadást az Industroyer; önmaga telepítését követően kiegészítőit is elhelyezi a célpont rendszeren, majd egy távoli szerverhez csatlakozva vár utasításra, illetve jelent a támadóknak. A malware kódja négy ártalmas komponenst is tartalmaz, ami azt mutatja, hogy alkotójának egészen mély ismeretei vannak az ipari ellenőrző rendszerek működéséről.

Természetesen a digitális kártevő tevékenységének elrejtésére is rendelkezik eszközökkel, sőt, alkotója arra is ügyelt, hogy ha elvégezte dolgát, akkor nyom nélkül eltakarítsa saját magát a rendszerből. Testre szabott működéssel bír, speciális hardvereket lehet vele támadni. Az elemzés szerint például az ABB gyártmányú ipari energiavezérlő-eszközök ellen használható, de DoS komponense már a Siemens SIPROTECT eszközei ellen lett létrehozva.

Cherepanov szerint biztosat ugyan nem lehet állítani, de nagyon valószínű, hogy az Industroyer vagy annak valamilyen variánsa támadta meg az ukrán erőművet 2015 végén.