A 24 órás áramkimaradást okozó, 2016-ban lezajlott ukrán villamosenergia-hálózat elleni akció egy jól irányzott kibertámadás volt. Az ESET szakemberei felfedeztek és kielemeztek egy kártevõt, amelyet Win32/Industroyer néven azonosítottak, és pontosan ugyanilyen támadásokra képes. Az, hogy a kártevõt valóban felhasználták-e egy nagyszabású tesztben a kiberbûnözõk, még megerõsítésre szorul, ettõl függetlenül a vírus jelentõs károkat képes okozni az elektromos rendszerekben, és más kritikus infrastruktúrákra is komoly veszélyt jelent.

Az Industroyer azért is nagyon veszélyes, mert képes közvetlenül irányítani a villamosenergia-alállomás kapcsolóit és megszakítóit. Ehhez olyan ipari kommunikációs protokollokat használ, amelyeket más ellátó infrastruktúrákban, szállításirányítási rendszerekben és más kritikus hálózatokban (víz, gáz) is világszerte alkalmaznak. Ezek a digitális kapcsolók és megszakítók olyanok, mint a hagyományos kapcsolók: különféle funkciók végrehajtására alkalmazhatók. Így a potenciális hatásuk az áramellátás lekapcsolásától a berendezések súlyosabb megkárosításáig terjedhet, és alállomásonként különbözõ is lehet, így a rendszerek megzavarása közvetlenül vagy közvetve létfontosságú szolgáltatások mûködését is befolyásolhatja.

Az Industroyer veszélyessége abban rejlik, hogy a kommunikációs protokollokat a használatra tervezett módon alkalmazza, azonban ezeket a protokollokat évtizedekkel ezelõtt tervezték, amikor a rendszereket elszigetelték a külvilágtól, így a biztonságra sem fektettek hangsúlyt. Ez azt jelenti, hogy a támadóknak nem kell a sérülékenységeket keresniük, csak meg kell tanítani a kártevõknek, hogyan kommunikáljanak ezekkel az ipari vezérlõ protokollokkal.

A nemrégiben észlelt áramkimaradás 2016 december 17-én történt, pontosan egy évvel az alaposan dokumentált ukrajnai eset után, amely 250 ezer háztartást érintett. Ekkor a kiberbûnözõk többek között a BlackEnergy és a KillDisk kártevõket alkalmazták. Azon kívül, hogy ukrán áramellátókat támadtak, a szakemberek nem találtak látható azonosságot a BlackEnergy és az Industroyer között.

Hogyan mûködik az Industroyer?
Az Industroyer egy moduláris kártevõ. Fõ összetevõje egy hátsóajtó (backdoor), amelyet bûnözõk a támadás végrehajtásához használnak: telepíti és irányítja a többi komponenst, kapcsolódik a távoli szerverhez, parancsokat fogad, illetve jelentést küld a támadóknak.

Az Industroyert az különbözteti meg más kártevõktõl, hogy négy programkód komponenst (payload) használ, amelyeket az alállomásokon lévõ kapcsolók és megszakítók irányításának átvételére terveztek. Ezek a komponensek külön szakaszokban mûködnek, feladatuk, hogy feltérképezzék a hálózatot, majd kitalálják és kiadják a parancsokat a különféle ipari irányítórendszerekhez. Az Industroyer kártevõ által használt programkód azt mutatja, hogy írójuk komoly szakmai tudással rendelkezik az ipari irányítórendszerek mûködésérõl.

A kártevõ néhány olyan speciális további funkciót is tartalmaz, amelyek arra szolgálnak, hogy a vírus rejtve maradhasson és eltüntesse saját mûködésének nyomait a károkozás végeztével. Például a távoli C&C szerverrel való kommunikációt a Tor hálózaton keresztül valósították meg, ahol a forgalom olyan módon is korlátozható, hogy az kizárólag a szokásos munkaidõn kívül történjen. Egy további hátsóajtó – amelyet jegyzettömb alkalmazásnak álcáztak – képes újra felvenni a kapcsolatot a megtámadott hálózattal, amennyiben a fõ backdoor-t leleplezték és/vagy leállították. A törlõmodul arra szolgál, hogy a rendszerben kritikus registry kulcsokat töröljön, és felülírja a fájlokat, így a rendszer újraindítása nem lehetséges és a visszaállítás is nehezebbé válik.

Konklúzió
Az Industroyer egy rendkívül testreszabható kártevõ. Miközben számos célra használható, az ipari irányítórendszerek elleni támadásra is jól alkalmazható a megcélzott kommunikációs protokollok révén, néhány elemzett programkomponens pedig meghatározott hardvereket támad meg.
Bár nehéz végrehajtani egy vírustámadást helyszíni reagálás nélkül, nagyon valószínû, hogy 2016 decemberében az ukrajnai áramellátót érintõ támadásnál az Industroyert használták a kiberbûnözõk. Ezt a kártevõ felismerhetõ, egyedi funkciói mellett egy felfedezett idõbélyegzõ is bizonyítja, amelyet pontosan a támadás napjára idõzítettek.

A 2016-os ukrajnai támadás nem kapott akkora figyelmet, mint az egy évvel korábbi akció, azonban akár teszt volt az akció, akár nem, komoly figyelmeztetésnek kell szolgálnia a világszerte megtalálható kritikus rendszerek biztonságával kapcsolatban.