Найдено кибероружие, превосходящее легендарный Stuxnet
Эксперты компании ESET сообщили об обнаружении вредоносного ПО Industroyer, которую обозначили как «крупнейшую со времен Stuxnet угрозу для промышленных систем управления». Эта модульная программа предназначена для нарушения критических процессов в промышленных системах управления, в частности, в энергокомпаниях.Разрушитель промышленности
Программа Industroyer (название образовано от английских слов Industry - «промышленность» и Destroyer - «Разрушитель») позволяет хакерам напрямую управлять выключателями и прерывателями цепи на электрических подстанциях.
Атака Industroyer может приводить как к простому отключению подачи электроэнергии, так и значительному физическому повреждению оборудования.
В ESET считают, что именно эта программа использовалась в кибератаках на электросети Украины в конце 2016 г.
Вредоносная программа заражает обычные ПК, на которых работают системы управления промышленными контроллерами. В частности, Industroyer использует четыре промышленных протокола связи, распространенных в электроэнергетике, управлении транспортом, водоснабжении и других критических инфраструктурах, конкретнее - IEC 60870-5-101, IEC 60870-5-104, IEC 61850, и OPC DA.
Эти протоколы разрабатывались много десятилетий назад в условиях, когда проблемы кибербезопасности как таковой не существовало; соответственно, современные требования безопасности в этих протоколах не учитывались вовсе. Авторы вредоноса просто использовали известные слабые места в этих протоколах.
Кибероружие, превосходящее Stuxnet
Эксперты компании ESET говорят о Industroyer, как о крупнейшей со времен Stuxnet угрозу для промышленных систем управления». Троян Stuxnet, «первое кибернетическое оружие», в сентябре 2010 г. поразил ядерные объекты Ирана, используя уязвимости в операционной системе Windows и атакуя системы автоматизированного управления Siemens.
Исследователи утверждают, что авторы Industroyer являются опытными программистами, хорошо знакомыми как со спецификой промышленных систем, так и с безопасностью коммуникационных сетей и компьютерных систем.
Industroyer обладает модульной архитектурой, где ядром является бэкдор, устанавливаемый на рабочую станцию и получающий команды и другие компоненты с удалённого командного сервера.
Кроме этого вредонос содержит четыре компонента, предназначенные для захвата контроля над выключателями и прерывателями цепи на электростанциях. Каждый из этих компонентов использует один из вышеперечисленных протоколов обмена промышленными данными.
«Как правило, эти компоненты работают посменно, вначале составляя общую схему [промышленной] сети, а затем определяя, какие команды на какие промышленные контроллеры направлять», - пишут исследователи.
Помимо этого, Industroyer снабжён дополнительным бэкдором, на случай если первый будет обнаружен и устранён; сканер портов, который ищет устройства подключённые к локальной сети, и модуль уничтожения данных, который удаляет и саму вредоносную программу, и полностью выводит из строя ранее заражённый компьютер, - очевидно, затем, чтобы задержать восстановление подачи электроэнергии. Также Industroyer обладает модулем, обеспечивающим DoS-атаки.
- Появление чего-то похожего на Industroyer - это было лишь вопросом времени, - считает Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - Эксперты уже несколько лет говорят, что ситуация с киберзащищенностью промышленных систем по всему миру хуже некуда, и что целевые атаки на них - это вопрос ближайшего будущего. Industroyer подтвердил справедливость этих опасений. К сожалению, единственный гарантированный способ защититься от чего-то подобного, - это повсеместно менять архитектуру промышленных систем.
В ESET полагают, что авторы вредоноса могут перенастроить его так, чтобы атаковать любую промышленную среду, где используются целевые протоколы связи (то есть, почти любую в принципе).