Výskumníci bezpe?nostnej spolo?nosti ESET analyzovali vyspelý a ve?mi nebezpe?ný ?kodlivý kód, ktorého cie?om je naru?i? chod kritickej infra?truktúry. Tento malware mal v decembri 2016 vies? k výpadku elektrickej energie v Kyjeve, hlavnom meste Ukrajiny.
Sleduj Fontech.sk aj na Facebooku, YouTube a Instagrame!
Jeho pozmenené formy by v?ak dokázali úto?i? aj na iné typy kritickej infra?truktúry nielen na Ukrajine. ESET túto hrozbu deteguje ako Win32/Industroyer. ?Industroyer je nebezpe?ný v tom, ?e doká?e priamo kontrolova? vypína?e elektrických staníc a elektrické isti?e. Pou?íva na to priemyselné komunika?né protokoly, ktoré sú celosvetovo vyu?ívané v elektrickej infra?truktúre, dopravných kontrolných systémoch a kritickej infra?truktúre (voda, plyn),? vysvet?uje Anton Cherepanov. Industroyer vyu?íva spomenuté protokoly tak, ako boli vytvorené, aby sa pou?ívali.
zdroj fotografie: ESET
V tom spo?íva skuto?né nebezpe?enstvo tohto ?kodlivého kódu pod?a Cherepanova. ?Problémom týchto protokolov je, ?e boli vytvorené pred desiatkami rokov a vtedy mali by? priemyselné systémy izolované od vonkaj?ieho sveta. Ich komunika?né protokoly teda neboli vytvorené s oh?adom na bezpe?nos?,? varuje Cherepanov. Kyjevský výpadok energie, ktorý nastal 17. decembra 2016, sa udial takmer rok po dobre preskúmanom kybernetickom útoku, kvôli ktorému pri?lo o energiu 250-tisíc ukrajinských domácností. Úto?níci na to v roku 2015 vyu?ili ?kodlivé kódy BlackEnergy, KillDisk a ?al?ie ?kodlivé komponenty. Okrem toho, ?e v oboch prípadoch ?lo o útok na ukrajinskú sie?, nena?li experti z ESETu ?iadne podobné znaky s novým útokom z decembra 2016.
Tomu, ?e ESET analyzoval ?kodlivý kód, ktorý naozaj zaprí?inil tento výpadok, nasved?ujú dva fakty: funkcionalita malwaru zodpovedá danému útoku; malware mal jeden z ?asových spína?ov nastavený na 17. decembra 2016, kedy do?lo k samotnému výpadku energie. Bezpe?nostní experti si myslia, ?e decembrový útok bol len testom daného ?kodlivého kódu.
zdroj fotografie: ESET
?Schopnos? Industroyera udr?a? sa v systéme a priamo zasahova? do chodu priemyselného hardvéru z neho robí najvä??iu hrozbu pre priemyselné systémy od ?ias známeho Stuxnetu, ktorý dokázal úspe?ne úto?i? na iránsky nukleárny program a bol objavený v roku 2010,? uzatvára Cherepanov. Niektoré komponenty Industroyera boli vytvorené na útok na konkrétny hardvér, ide napríklad o produkty spolo?nosti ABB a zariadenia Siemens SIPROTEC. ?Je ve?mi nepravdepodobné, ?e by niekto dokázal napísa? a otestova? takýto ?kodlivý kód bez prístupu k ?pecializovaným systémom pou?ívaným v priemyselnom prostredí,? domnieva sa Cherepanov.
Nenechaj si ujs?ESET varuje! Slovenských pou?ívate?ov trápi nový trójsky kô?, ktorý vnucuje in?taláciu ?kodlivých roz?írení do prehliada?ov
?kodlivý kód obsahuje napríklad dodato?ný backdoor, ktorý úto?níkom umo??uje opätovne získa? kontrolu nad systémom, v ktorom mohol by? pôvodný backdoor objavený alebo znefunk?nený. Ako tento dodato?ný backdoor slú?i trojanizovaný Windows Notepad. Ide o plne funk?nú verziu tejto aplikácie, autori malwaru v?ak do nej vlo?ili ?kodlivý kód. Úlohou ?al?ích komponentov je napríklad automaticky v sieti vyh?adáva? dôle?ité zariadenia alebo po?íta?e, maza? systémové komponenty napadnutého po?íta?a (aby sa nedal spusti?) alebo vykonáva? Denial-of-Service útoky na zariadenia Siemens SIPROTEC.
