SAMSUNG_112022 Advertisement SAMSUNG_112022 Advertisement SAMSUNG_112022 Advertisement

Ako sme Ukrajincom analyzovali nebezpečný Industroyer2 útočiaci na elektrickú sieť

Bezpečnosť
0
Aj v tomto stĺpčeku sa budem venovať vojne na Ukrajine a jej prejavom v kybernetickom priestore. Naši výskumníci minulý mesiac úzko spolupracovali s ukrajinským centrom pre kybernetickú bezpečnosť (CERT-UA) pri analýze  útoku malvérom Industroyer2 na ukrajinskú energetickú spoločnosť.  Tento útok mal za cieľ vypnúť elektrinu, no Ukrajincom sa ho podarilo prekaziť.

Podľa nášho výskumu, ktorý určuje identitu útočníkov podľa technických informácií, za ním stála skupina Sandworm. Pred dvoma rokmi v USA obvinili šesť dôstojníkov ruskej zahraničnej vojenskej rozviedky GRU za ich rolu v mnohých kybernetických útokoch mimo Ruska vrátane útoku prvou verziou Industroyera v roku 2016, ktorý spôsobil výpadok elektrickej energie na Ukrajine.

Deštruktívny útok bol naplánovaný na piatok 8. apríla, ale časti malvéru indikujú, že bol pripravovaný najmenej dva týždne. Okrem malvéru, ktorý útočil priamo na zariadenia kritickej infraštruktúry, mali byť použité aj wipery – škodlivé kódy určené na ničenie dát, zamerané na operačné systémy Windows, Linux a Solaris. Tento incident nasledoval niekoľko týždňov po rozsiahlych útokoch deštruktívnymi wipermi na Ukrajine, o ktorých som tu písal naposledy.

Skupina Sandworm sa snažila nasadiť Industroyer2 proti elektrickým distribučným staniciam. Zatiaľ sa nám nepodarilo zistiť, ako sa do zariadení kritickej infraštruktúry dostali. Vieme však, že takýto program nemohol napísať niekto, kto by nemal prístup k podobne špecializovaným zariadeniam. Inými slovami, Industroyer2 si útočníci museli otestovať na obdobnom prístroji.

Na komunikáciu s týmto priemyselným zariadením využíval Industroyer2 špecifický protokol, vďaka ktorému vedel komunikovať aj s nadprúdovými ochranami, ktoré sa používajú v týchto elektrických distribučných staniciach. Pred spojením s týmito zariadeniami malvér vypol legitímne procesy, ktoré sa používali na štandardnú dennú prevádzku. Takisto zabezpečil, aby sa tieto procesy automaticky nereštartovali. Sme presvedčení, že tento komponent dokáže kontrolovať špecifické priemyselné systémy s cieľom vypnúť dodávku elektrickej energie.

Nedávno som spomínal objav mazača dát CaddyWiper. Jeho nová verzia sa vyskytla aj pri tomto útoku. Cieľom bolo sťažiť obnovu procesov do štandardnej prevádzky, ako aj vymazať stopy po Industroyeri2. Podobne deštruktívne „wipery“, ktoré sa našli na sieti dotknutej energetickej spoločnosti, zasiahli aj operačné systémy Linux a Solaris.

Keď sme v roku 2017 objavili pôvodný Indstroyer, označili sme ho za vyspelý a veľmi nebezpečný škodlivý kód, ktorého cieľom je narušiť chod kritickej infraštruktúry. Tento malvér spôsobil výpadok elektrickej energie v časti Kyjeva, hlavného mesta Ukrajiny. Jeho pozmenená a aktualizovaná forma by však dokázala útočiť aj na iné typy kritickej infraštruktúry, a to nielen na Ukrajine. Rovnaké nebezpečenstvo zo strany jeho tvorcov Sandworm by pritom predstavoval aj Industroyer z roku 2022.

Industroyer bol vtedy nebezpečný v tom, že dokázal priamo kontrolovať vypínače elektrických staníc a elektrické ističe. Používal na to priemyselné komunikačné protokoly, ktoré sa celosvetovo využívajú v elektrickej infraštruktúre, dopravných kontrolných systémoch a kritickej infraštruktúre (voda, plyn). Problémom týchto protokolov je, že boli vytvorené pred desiatkami rokov a vtedy nemuseli ešte byť priemyselné systémy izolované od vonkajšieho sveta. Ich komunikačné protokoly teda neboli vytvorené s ohľadom na súčasnú bezpečnosť.

No ani pôvodný Industroyer nebol pri prvom výpadku elektriny na Ukrajine. Rok pred ním totiž práve po kybernetickom útoku prišlo na niekoľko hodín o elektrinu asi 250-tisíc ukrajinských domácností. Útočníci na to v roku 2015 využili škodlivé kódy BlackEnergy, KillDisk a ďalšie škodlivé komponenty.

Schopnosť Industroyera udržať sa v systéme a priamo zasahovať do chodu priemyselného ­hardvéru z neho urobila už vtedy najväčšiu hrozbu pre priemyselné systémy od čias známeho ­Stuxnetu, ktorý dokázal úspešne útočiť na iránsky nukleárny program a bol objavený v roku 2010.

Tentoraz však Sandworm našťastie nebol až taký úspešný. „Som hrdý na ukrajinských kybernetických obrancov a na ESET. Toto je veľké víťazstvo proti odhodlanému nepriateľovi. Udávate štandard pre obrancov,“ tvítoval John Hultquist, viceprezident americkej kyberbezpečnostnej spoločnosti Mandiant.

No ruské zbrane na Ukrajine stále rinčia a aj v kybernetickej vojne je toto víťazstvo iba v jednej bitke. Držme si palce, držme palce Ukrajincom.

Branislav Ondrášik,
ESET

 

ESET

Všetky autorove články

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať