Industroyer

framework pro malware

Malware Industroyer[1] (též jinak nazývaný jako Crashoverride) je frameworkem pro malware, který byl použit v prosinci 2016 pro kybernetický útok na energetickou síť v Ukrajině[2][3][4]. Poslední útok zasáhl polovinu města Kyjev, hlavního města Ukrajiny a odříznul pětinu města od elektrické energie na více než hodinu[5][6]. Kyjevský incident byl druhým kybernetickým útokem na ukrajinskou energetickou síť během dvou let. První útok nastal v prosinci 2015[7]. Industroyer je první známý malware zaměřující se speciálně na energetické sítě[8].

Objev a pojmenováníEditovat

Malware byl objeven výzkumníky bezpečnostní firmy ESET. Společnost ESET i další bezpečnostní společnosti jej detekují jako „Industroyer“[9][10], ačkoliv kyberbezpečnostní firma Dragos tento malware pojmenovala „Crashoverride“[8].

PopisEditovat

Detailní analýza malware Industroyer[11] odhalila, že tento malware byl navržen tak, aby přerušil procesy v rámci průmyslových řídících systému ICS, především těch v elektrických rozvodnách. Sám o sobě je malware Industroyer modulárním malwarem, jeho hlavními komponentami jsou:

  • Hlavní zadní vrátka (backdoor) jsou použitá k řízení ostatních komponent tohoto malware. Umožňuje se spojit se vzdáleným řídícím serverem za účelem získání příkazu, který má provést v rámci infikovaného systému.
  • Přídavná zadní vrátka poskytují sekundární mechanismus k zajištění přetrvávání malware, toto umožňuje útočníkům získat přístup zpět do sítě i poté, co byla odhalena a odstraněna hlavní zadní vrátka
  • Spouštěč je oddělený program zodpovědný za spouštění dalších komponent. Tato komponenta má v sobě zabudovaný čas svého spuštění.
  • Čtyři útočné komponenty jsou speciální komponenty průmyslových protokolů o standardech IEC 60870-5-101, IEC 60870-5-104, IEC 61850 a OLE for Process Control Data Access (OPC Data Access, OPC DA). Funkce těchto komponent zahrnují mapování sítě a zadávání příkazů průmyslovým řídícím jednotám za použití těchto protokolů.
  • Komponenta pro výmaz dat je navržena tak, aby smazala důležité záznamy z klíčů registrů operačních systémů a přepsala soubory tak, aby systém již nenastartoval a obnova z útoku nebyla možná.

ReferenceEditovat

  1. Radiografía de un ataque al suministro eléctrico. Demo (Manuel Bermúdez, ENAGAS). [s.l.]: [s.n.] Dostupné online. (česky) 
  2. Přihlásit se k Facebooku. Facebook [online]. [cit. 2021-04-18]. Dostupné online. (česky) 
  3. JEWKES, Pavel Polityuk, Oleg Vukmanovic, Stephen. Ukraine's power outage was a cyber attack: Ukrenergo. Reuters. 2017-01-18. Dostupné online [cit. 2021-04-18]. (anglicky) 
  4. Industroyer: Biggest threat to industrial control systems since Stuxnet. WeLiveSecurity [online]. 2017-06-12 [cit. 2021-04-18]. Dostupné online. (anglicky) 
  5. The Ukrainian Power Grid Was Hacked Again. www.vice.com [online]. [cit. 2021-04-18]. Dostupné online. (anglicky) 
  6. Crash Override Malware Took Down Ukraine's Power Grid Last December. Wired. Dostupné online [cit. 2021-04-18]. ISSN 1059-1028. (anglicky) 
  7. Ongoing Sophisticated Malware Campaign Compromising ICS (Update E) | CISA. us-cert.cisa.gov [online]. [cit. 2021-04-18]. Dostupné online. 
  8. a b DRAGOS INC., Dragos. CRASHOVERRIDE Analysis of the Threat to Electric Grid Operations [online]. Dragos, 12 June 2017 [cit. 2017-06-12]. Dostupné online. 
  9. VirusTotal. www.virustotal.com [online]. [cit. 2021-04-18]. Dostupné online. 
  10. VirusTotal. www.virustotal.com [online]. [cit. 2021-04-18]. Dostupné online. 
  11. CHEREPANOV, Anton. WIN32/INDUSTROYER: A new threat for industrial control systems [online]. www.welivesecurity.com, ESET, 12 June 2017 [cit. 2017-06-12]. Dostupné online. 

V tomto článku byl použit překlad textu z článku Industroyer na anglické Wikipedii.