Industroyer: новая угроза для систем управления производственными процессами

Компания ESET предупреждает о появлении сложной и чрезвычайно опасной вредоносной программы, предназначенной для подрыва важных промышленных процессов.

Опасность Industroyer заключается в способности непосредственно контролировать выключатели и автоматические переключатели электрической подстанции.

Для этого вредоносная программа использует промышленные протоколы связи, которые используются во всем мире в инфраструктуре электроэнергетики, системах управления транспортом и других важнейших системах инфраструктуры. Эти выключатели и автоматические переключатели являются цифровыми эквивалентами аналоговых переключателей; технически они могут быть разработаны для выполнения различных функций. Таким образом, потенциальное воздействие угрозы может варьироваться от простого выключения электроэнергии, каскадных аварий к более серьезному повреждению оборудования. Прекращение работы таких систем может прямо или косвенно влиять на функционирование сферы жизненно важных услуг.

Угроза Industroyer использует существующие протоколы, разработанные несколько десятилетий назад. В то время промышленные системы были изолированы от внешнего мира, поэтому их протоколы связи были разработаны без учета требований безопасности. В связи с этим киберпреступникам не нужно было искать уязвимости протоколов, а только уметь использовать протоколы для своих целей. Недавнее отключение электроэнергии произошло 17 декабря 2016 года, почти через год после кибератаки, которая оставила без электроэнергии 250 000 домохозяйств в некоторых регионах Украины 23 декабря 2015 года. Тогда киберпреступники проникли в сеть распределения электроэнергии благодаря вредоносной программе BlackEnergy, в которую входили KillDisk и другие вредоносные компоненты, а затем не санкционированно использовали легальное программное обеспечение удаленного доступа для контроля рабочих станций операторов и отключения электроэнергии. Кроме целенаправленности на украинскую энергосистему, нет очевидного сходства в коде между BlackEnergy и Industroyer.

Industroyer является модульной вредоносной программой. Основным компонентом является бэкдор, который используется киберпреступниками для управления атакой. В частности, бэкдор устанавливает и контролирует другие компоненты, а также подключается к удаленному серверу для получения команд и предоставление информации злоумышленникам.

От других вредоносных программ, нацеленных на инфраструктуру, Industroyer отличает использование четырех компонентов, предназначенных для получения прямого контроля над автоматическими выключателями и переключателями на подстанции распределения электроэнергии. Каждый из этих компонентов нацелен на конкретные протоколы связи, указанные в следующих стандартах: IEC 60870-5-101, IEC 60870-5-104, IEC 61850 и OLE for Process Control Data Access (OPC DA).

Подробнее об угрозе Industroyer читайте на официальном блоге ESET.