A SentinelOne, egy izraeli kiberbiztonsági cég munkatársai egy olyan malware-t találtak a DarkWeb egyik fórumán, ami a vizsgálatok alapján feltételezhetően egy európai villamosenergia-szektorban működő szervezet elleni támadáshoz lett fejlesztve. A kutatók feltételezései szerint a Furtim idén május óta lehet aktív és két ismert exploit-ot (CVE-2014-4113 és CVE-2015-1701), valamint UAC-megkerülési technikát is alkalmaz. A malware fejlesztői jelentős erőfeszítéseket tettek annak érdekében, hogy ne csak a hagyományos antivirus és modern (next-gen) tűzfal-termékekkel ne lehessen észlelni az általuk fejlesztett malware-t, de a különböző sandbox-okat (pl. GFI, Joe Sandbox) is nagyon hatékonyan képes észlelni és ilyen környezetekben inaktív marad. Még érdekesebb a kutatóknak az a feltételezése, hogy a malware-t olyan létesítmény vagy létesítmények ellen tervezték, ahol nem csak a szoftveres, de a fizikai védelem szintje is magas. Ha a malware a ZKTeco nevű globális fizikai biztonsági rendszereket (arcfelismerő, ujjlenyomat olvasó és RFID rendszereket) gyártó cég szoftverét észleli a célba vett számítógépen, azonnal leállítja a működését, mivel ezeket a rendszereket az üzemeltetőik jellemzően szigorú felügyelet alatt tartják, így egy malware-fertőzés valószínűleg nem maradna észrevétlen.
A malware alacsony szintű API-kat (Nt* és Rtl*) és közvetlen rendszerhívásokat (INT 2Eh és CALL ntdll!KiFastSystemCall) használ, így kerülve el, hogy antivirus szoftverekkel vagy sandbox-okkal felfedezzék. A SentinelOne munkatársai szerint ezeknek az eszközöknek a használata egyértelműen bizonyítja, hogy a Furtim fejlesztői igen alapos ismeretekkel rendelkeznek a Windows Driver Developement Kit használatával kapcsolatban. Az indirekt szubrutin hívások használatával a statikus manuális elemzéseket tették gyakorlatilag lehetetlenné, a dinamikus elemzések pedig fájdalmasak és lassúak. A kutatók által vizsgált malware-minta végső célja (a célba vett rendszeren talált antivirus szoftver csendes eltávolítása után) a lényegi kódjának futtatása.
A malware-t vizsgáló kutatók egyebek mellett ezek alapján azt feltételezik, hogy a fejlesztők mögött egy nemzetállam állhat, feltételezéseik szerint Kelet-Európából. Arról egyelőre nincsenek pontosabb információk, hogy milyen villamosenergia-ipari szervezettel kapcsolatban fedezték fel a Furtim-ot, azonban az európai villamosenergia-hálózattal kapcsolatban egyre gyakrabban látnak napvilágot különböző súlyú kiberbiztonsági incidensek és fenyegetések, amik nem ígérnek sok jót a jövőre nézve.
Az SFG/Furtim részletes elemzését a SentinelOne weboldalán lehet elolvasni: https://sentinelone.com/blogs/sfg-furtims-parent/
A SentinelOne elemzése nyomán számos biztonsági híroldal hozta le a saját összefoglalóját:
http://www.theregister.co.uk/2016/07/12/scada_malware/
http://securityaffairs.co/wordpress/49332/cyber-warfare-2/government-malware-dark-web.html
https://www.helpnetsecurity.com/2016/07/13/malware-backdoor-critical-infrastructure-targets/
http://thehackernews.com/2016/07/scada-malware-energy.html
Szerk: Robert M. Lee gondolatai a SentinelOne elemzéséről és a szakmai reakcióiról.
