AktualnościGroźny wirus atakuje elektrownie i wodociągi

Groźny wirus atakuje elektrownie i wodociągi

Analitycy z firmy ESET zidentyfikowali zaawansowane i bardzo niebezpieczne złośliwe oprogramowanie Industroyer, umożliwiające zakłócanie, a nawet wyłączenie kluczowych procesów przemysłowych, takich jak działanie elektrowni czy przerwanie dostaw wody i gazu.

Groźny wirus atakuje elektrownie i wodociągi

Eksperci z firmy ESET przeanalizowali próbki złośliwego oprogramowania, wykrywanego przez ESET jako Win32/Industroyer, zdolnego do wykonywania ataków na infrastrukturę krytyczną. Industroyer jest szczególnie niebezpiecznym zagrożeniem, ponieważ jest w stanie bezpośrednio kontrolować przełączniki i wyłączniki podstacji elektrycznej. W tym celu wykorzystuje przemysłowe protokoły komunikacyjne stosowane na całym świecie w infrastrukturze zasilania, systemach kontroli transportu i innych ważnych systemach infrastruktury krytycznej (woda, gaz). Przełączniki i wyłączniki są cyfrowymi odpowiednikami przełączników analogowych - technicznie można je zaprojektować do wykonywania różnych funkcji. Tak więc potencjalny skutek ataku może obejmować: przerwy w dystrybucji prądu czy wody i poważniejsze uszkodzenia sprzętu. Oczywiście, zakłócenie takich systemów może mieć bezpośredni lub pośredni wpływ na funkcjonowanie istotnych usług.

Jak działa zagrożenie?

Wysokie niebezpieczeństwo działania zagrożenia Industroyer polega na tym, że wykorzystuje ono protokoły w sposób, do którego zostały zaprojektowane. Problem polega na tym, że te protokoły zostały zaprojektowane kilkadziesiąt lat temu, kiedy systemy infrastruktury krytycznej z zasady były odizolowane od świata zewnętrznego. Z tego powodu nie uwzględniono w tych protokołach należytych zabezpieczeń. To z kolei sprawiło, że atakujący nie musieli szukać luk w tych protokołach - wystarczyło, że zagrożenie wie, jak komunikować się zgodnie z tymi protokołami.

- Zdolność zagrożenia Industroyer do utrzymywania się w systemie i do bezpośredniego oddziaływania na działanie sprzętu przemysłowego czyni to zagrożenie wyjątkowo niebezpiecznym - mówi Kamil Sadkowski, analityk zagrożeń z firmy ESET.

Struktura i kluczowe funkcje

Industroyer to modułowe złośliwe oprogramowanie. Jego podstawowym składnikiem jest backdoor, używany przez atakujących do zarządzania atakiem, który dodatkowo instaluje i kontroluje inne komponenty wirusa oraz łączy się z serwerem atakującego (tzw. C&C) w celu otrzymywania poleceń i raportowania. To, co wyróżnia Industroyer spośród innych dotychczasowych zagrożeń atakujących infrastrukturę krytyczną instalacji przemysłowych, to wykorzystanie czterech różnych komponentów, które mają na celu uzyskanie bezpośredniej kontroli nad przełącznikami i wyłącznikami w stacji dystrybucji energii elektrycznej. Każdy z tych komponentów jest przeznaczony do obsługi innego protokołu komunikacyjnego opisanego w jednej z następujących norm: IEC 60870-5-101, IEC 60870-5-104, IEC 61850 i OPC DA. Komponenty pracują w etapach, których celem jest rozpoznanie sieci, a następnie sprawdzenie, czy wydawane polecenia odnoszą skutek w przypadku konkretnych urządzeń do sterowania przemysłowego.

Złośliwe oprogramowanie zawiera kilka innych funkcji, które umożliwiają m.in. pozostanie w ukryciu w celu zapewnienia trwałości działania złośliwego oprogramowania czy usunięcie śladów po wykonaniu działania. Na przykład komunikacja z serwerami C&C, ukryta w sieci Tor, może być ograniczona do godzin wolnych od pracy. Zagrożenie posiada również dodatkową funkcję backdoora - ukrywa się jako aplikacja Notatnik na wypadek wykrycia lub wyłączenia. Kolejnym modułem jest narzędzie do ataku Denial of Service, które wykorzystuje lukę CVE-2015-5374 w zabezpieczeniach urządzeń SIPROTEC firmy Siemens (służących do ochrony, kontrolowania i monitorowania aplikacji w systemach elektrycznych) i może spowodować, że urządzenia docelowe przestaną odpowiadać.

Win32/Industroyer jest zaawansowanym złośliwym oprogramowaniem i może okazać się wyjątkowo groźny w ręku wyrafinowanego i zdeterminowanego napastnika. Jego zdolność zagnieżdżania się w systemie i zakłócenia krytycznych procesów przemysłowych sprawia, że jest to bardzo niebezpieczne narzędzie mogące spowodować przerwy w dostawach prądu, wody czy gazu. Równie niebezpiecznym zagrożeniem był Stuxnet, którego zadaniem był sabotaż irańskiego programu nuklearnego. Robak okazał się niezwykle skuteczny - według New York Timesa, Stuxnet czasowo unieruchomił niemal 1000 z 5000 irańskich wirówek do oczyszczania uranu. Ostatecznie zagrożenie zostało wyeliminowane, a Iran wznowił pracę wspomnianych urządzeń.

Eksperci podejrzewają, że niedawny atak (w 2016 roku) na ukraińską sieć energetyczną był testem tego zagrożenia i powinien służyć jako ostrzeżenie dla osób i instytucji odpowiedzialnych za bezpieczeństwo najważniejszych systemów na całym świecie.

Zdjęcie główne pochodzi ze źródła: ©123RF/PICSEL

News

Wybrane dla Ciebie

Cenimy Twoją prywatność

Kliknij "AKCEPTUJĘ I PRZECHODZĘ DO SERWISU", aby wyrazić zgodę na korzystanie w Internecie z technologii automatycznego gromadzenia i wykorzystywania danych oraz na przetwarzanie Twoich danych osobowych przez PC Format, Wirtualną Polskę, Zaufanych Partnerów IAB (878 partnerów) oraz Zaufanych Partnerów WP (404 partnerów) a także udostępnienie przez nas ww. Zaufanym Partnerom przypisanych Ci identyfikatorów w celach marketingowych (w tym do zautomatyzowanego dopasowania reklam do Twoich zainteresowań i mierzenia ich skuteczności) i pozostałych, które wskazujemy poniżej. Możesz również podjąć decyzję w sprawie udzielenia zgody w ramach ustawień zaawansowanych.


Na podstawie udzielonej przez Ciebie zgody PC Format, Wirtualna Polska, Zaufani Partnerzy IAB oraz Zaufani Partnerzy WP będą przetwarzać Twoje dane osobowe zbierane w Internecie (m.in. na serwisach partnerów e-commerce), w tym za pośrednictwem formularzy, takie jak: adresy IP, identyfikatory Twoich urządzeń i identyfikatory plików cookies oraz inne przypisane Ci identyfikatory i informacje o Twojej aktywności w Internecie. Dane te będą przetwarzane w celu: przechowywania informacji na urządzeniu lub dostępu do nich, wykorzystywania ograniczonych danych do wyboru reklam, tworzenia profili związanych z personalizacją reklam, wykorzystania profili do wyboru spersonalizowanych reklam, tworzenia profili z myślą o personalizacji treści, wykorzystywania profili w doborze spersonalizowanych treści, pomiaru wydajności reklam, pomiaru wydajności treści, poznawaniu odbiorców dzięki statystyce lub kombinacji danych z różnych źródeł, opracowywania i ulepszania usług, wykorzystywania ograniczonych danych do wyboru treści.


W ramach funkcji i funkcji specjalnych PC Format może podejmować następujące działania:

  1. Dopasowanie i łączenie danych z innych źródeł
  2. Łączenie różnych urządzeń
  3. Identyfikacja urządzeń na podstawie informacji przesyłanych automatycznie
  4. Aktywne skanowanie charakterystyki urządzenia do celów identyfikacji

Cele przetwarzania Twoich danych przez Zaufanych Partnerów IAB oraz Zaufanych Partnerów WP są następujące:

  1. Przechowywanie informacji na urządzeniu lub dostęp do nich
  2. Wykorzystywanie ograniczonych danych do wyboru reklam
  3. Tworzenie profili w celu spersonalizowanych reklam
  4. Wykorzystanie profili do wyboru spersonalizowanych reklam
  5. Tworzenie profili w celu personalizacji treści
  6. Wykorzystywanie profili w celu doboru spersonalizowanych treści
  7. Pomiar efektywności reklam
  8. Pomiar efektywności treści
  9. Rozumienie odbiorców dzięki statystyce lub kombinacji danych z różnych źródeł
  10. Rozwój i ulepszanie usług
  11. Wykorzystywanie ograniczonych danych do wyboru treści
  12. Zapewnienie bezpieczeństwa, zapobieganie oszustwom i naprawianie błędów
  13. Dostarczanie i prezentowanie reklam i treści
  14. Zapisanie decyzji dotyczących prywatności oraz informowanie o nich

W ramach funkcji i funkcji specjalnych Wirtualna Polska, Zaufani Partnerzy IAB oraz Zaufani Partnerzy WP mogą podejmować następujące działania:

  1. Dopasowanie i łączenie danych z innych źródeł
  2. Łączenie różnych urządzeń
  3. Identyfikacja urządzeń na podstawie informacji przesyłanych automatycznie
  4. Aktywne skanowanie charakterystyki urządzenia do celów identyfikacji

Dla podjęcia powyższych działań Wirtualna Polska, Zaufani Partnerzy IAB oraz Zaufani Partnerzy WP również potrzebują Twojej zgody, którą możesz udzielić poprzez kliknięcie w przycisk "AKCEPTUJĘ I PRZECHODZĘ DO SERWISU" lub podjąć decyzję w sprawie udzielenia zgody w ramach ustawień zaawansowanych.


Cele przetwarzania Twoich danych bez konieczności uzyskania Twojej zgody w oparciu o uzasadniony interes PC Format, Wirtualnej Polski, Zaufanych Partnerów IAB oraz możliwość sprzeciwienia się takiemu przetwarzaniu znajdziesz w ustawieniach zaawansowanych.


Cele, cele specjalne, funkcje i funkcje specjalne przetwarzania szczegółowo opisujemy w ustawieniach zaawansowanych.


Serwisy partnerów e-commerce WP, z których WP może przetwarzać Twoje dane osobowe na podstawie udzielonej przez Ciebie zgody znajdziesz tutaj.


Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać wywołując ponownie okno z ustawieniami poprzez kliknięcie w link "Ustawienia prywatności" znajdujący się w stopce każdego serwisu.


Pamiętaj, że udzielając zgody Twoje dane będą mogły być przekazywane do naszych Zaufanych Partnerów IAB i Zaufanych Partnerów WP z państw trzecich tj. z państw spoza Europejskiego Obszaru Gospodarczego.


Masz prawo żądania dostępu, sprostowania, usunięcia, ograniczenia, przeniesienia przetwarzania danych, złożenia sprzeciwu, złożenia skargi do organu nadzorczego na zasadach określonych w polityce prywatności PC Format.


Korzystanie z witryny bez zmiany ustawień Twojej przeglądarki oznacza, że pliki cookies będą umieszczane w Twoim urządzeniu końcowym. W celu zmiany ustawień prywatności możesz kliknąć w link Ustawienia zaawansowane lub "Ustawienia prywatności" znajdujący się w stopce każdego serwisu w ramach których będziesz mógł udzielić, odwołać zgodę lub w inny sposób zarządzać swoimi wyborami. Szczegółowe informacje na temat przetwarzania Twoich danych osobowych znajdziesz w polityce prywatności PC Format.