Industroyer

Malware Industroyer^[1] (též jinak nazývaný jako Crashoverride) je frameworkem pro malware, který byl použit v prosinci 2016 pro kybernetický útok na energetickou síť na Ukrajině^[2][3][4]. Poslední útok zasáhl polovinu města Kyjev, hlavního města Ukrajiny a odříznul pětinu města od elektrické energie na více než hodinu^[5][6]. Kyjevský incident byl druhým kybernetickým útokem na ukrajinskou energetickou síť během dvou let. První útok nastal v prosinci 2015^[7]. Industroyer je první známý malware zaměřující se speciálně na energetické sítě^[8].

Objev a pojmenování

Malware byl objeven výzkumníky bezpečnostní firmy ESET. Společnost ESET i další bezpečnostní společnosti jej detekují jako „Industroyer“^[9][10], ačkoliv kyberbezpečnostní firma Dragos tento malware pojmenovala „Crashoverride“^[8].

Popis

Detailní analýza malware Industroyer^[11] odhalila, že tento malware byl navržen tak, aby přerušil procesy v rámci průmyslových řídících systému ICS, především těch v elektrických rozvodnách. Sám o sobě je malware Industroyer modulárním malwarem, jeho hlavními komponentami jsou:

• Hlavní zadní vrátka (backdoor) jsou použitá k řízení ostatních komponent tohoto malware. Umožňuje se spojit se vzdáleným řídícím serverem za účelem získání příkazu, který má provést v rámci infikovaného systému.
• Přídavná zadní vrátka poskytují sekundární mechanismus k zajištění přetrvávání malware, toto umožňuje útočníkům získat přístup zpět do sítě i poté, co byla odhalena a odstraněna hlavní zadní vrátka
• Spouštěč je oddělený program zodpovědný za spouštění dalších komponent. Tato komponenta má v sobě zabudovaný čas svého spuštění.
• Čtyři útočné komponenty jsou speciální komponenty průmyslových protokolů o standardech IEC 60870-5-101, IEC 60870-5-104, IEC 61850 a OLE for Process Control Data Access (OPC Data Access, OPC DA). Funkce těchto komponent zahrnují mapování sítě a zadávání příkazů průmyslovým řídícím jednotám za použití těchto protokolů.
• Komponenta pro výmaz dat je navržena tak, aby smazala důležité záznamy z klíčů registrů operačních systémů a přepsala soubory tak, aby systém již nenastartoval a obnova z útoku nebyla možná.

Reference

1. Radiografía de un ataque al suministro eléctrico. Demo (Manuel Bermúdez, ENAGAS). [s.l.]: [s.n.] Dostupné online. 
2. Přihlásit se k Facebooku. Facebook [online]. [cit. 2021-04-18]. Dostupné online. 
3. JEWKES, Pavel Polityuk, Oleg Vukmanovic, Stephen. Ukraine's power outage was a cyber attack: Ukrenergo. Reuters. 2017-01-18. Dostupné online [cit. 2021-04-18]. (anglicky) 
4. Industroyer: Biggest threat to industrial control systems since Stuxnet. WeLiveSecurity [online]. 2017-06-12 [cit. 2021-04-18]. Dostupné online. (anglicky) 
5. The Ukrainian Power Grid Was Hacked Again. www.vice.com [online]. [cit. 2021-04-18]. Dostupné online. (anglicky) 
6. Crash Override Malware Took Down Ukraine's Power Grid Last December. Wired. Dostupné online [cit. 2021-04-18]. ISSN 1059-1028. (anglicky) 
7. Ongoing Sophisticated Malware Campaign Compromising ICS (Update E) | CISA. us-cert.cisa.gov [online]. [cit. 2021-04-18]. Dostupné online. 
8. DRAGOS INC., Dragos. CRASHOVERRIDE Analysis of the Threat to Electric Grid Operations [online]. Dragos, 12 June 2017 [cit. 2017-06-12]. Dostupné online. 
9. VirusTotal. www.virustotal.com [online]. [cit. 2021-04-18]. Dostupné online. 
10. VirusTotal. www.virustotal.com [online]. [cit. 2021-04-18]. Dostupné online. 
11. CHEREPANOV, Anton. WIN32/INDUSTROYER: A new threat for industrial control systems [online]. www.welivesecurity.com, ESET, 12 June 2017 [cit. 2017-06-12]. Dostupné online. 

V tomto článku byl použit překlad textu z článku Industroyer na anglické Wikipedii.