Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Crashoverride ICS malware framework

Újabb, a villamosenergia-rendszerek elleni támadásokhoz fejlesztett malware-t fedezett fel az ESET és a Dragos, Inc.

2017. június 13. - icscybersec

A hét elején a kiberbiztonsági és ICS biztonsági szakma az ESET és a Dragos, Inc. által felfedezett és Crashoverride vagy Industroyer néven ismertté vált malware-től volt hangos.

A Dragos kutatói bizonyítottnak látják, hogy ez a malware (igazából egy malware framework-ről írnak) volt a felelős a 2016. december 17-i, Kijevtől északra található, 330 kV-os Ukrenergo alállomáson történt incidensért.

A malware framework több helyen is "crash"-ként hivatkozik magára, emiatt kapta a kutatóktól a Crashoverride nevet. A Dragos szerint a Crashoverride az első, kifejezetten villamosenergia-rendszerek ellen tervezett és bevetett malware framework és a negyedik a célzottan ICS rendszerek ellen létrehozott malware-ek sorában (a Stuxnet, a BlackEnergy2 és a Havex után).

A Crashoverride nem kifejezetten egyetlen gyártó termékeit vagy egyetlen ICS rendszert céloz, ehelyett a villamosenergia-rendszerek működésével és kommunikációjával kapcsolatos tudásra épít, ilyen formán bármikor újra be lehet vetni bármelyik európai, Közel-keleti vagy ázsiai villamosenergia szektorban működő szervezet ICS rendszerei ellen. A vizsgálat idején a malware az Európában valamint a Közel- és Távol-Keleten elterjedt ICS protokollokat (IEC 101, IEC 104 és IEC 61850) használó rendszerek elleni támadásokra képes, de a Dragos szakértői szerint minimális módosításokkal bármikor képessé tehetik DNP3 protokollt használó rendszerek elleni támadásra is.

A Crashoverride lehetőséget ad a támadók számára, hogy egyszerre több helyszínen működő ICS rendszerek ellen intézzenek támadást, de az eddig rendelkezésükre álló információk alapján úgy vélik, hogy az így előidézett üzemzavarok nem lennének nagyon súlyosak, várhatóan órákra, esetleg napokra tudnának komolyabb fennakadásokat okozni a villamosenergia-ellátásban, nem pedig hetekre vagy még hosszabb időre.

A Crashoverride más, korábban ICS rendszerekkel kapcsolatba hozott malware-ekkel szemben nem kémkedésre és adatgyűjtésre lett tervezve, az egyetlen funkciója olyan támadások végrehajtása, ami áramkimaradásokat okoz.

A malware-t újabb protokoll-modulokkal kiegészítve más iparágak ellen is be lehet vetni, azonban a támadók mindezidáig nem mutatták jelét annak, hogy más iparágak ICS rendszerei elleni támadásokhoz szükséges tudással is rendelkeznének - ez persze csak feltételezés, de biztosat csak akkor lehet majd tudni, ha adott esetben más iparág(ak) elleni támadásoknál is megjelenne a Crashoverride.

A Dragos elemzése itt található, az ESET blogbejegyzését itt lehet olvasni, a US-CERT/NCCIC publikációja pedig itt érhető el: https://www.us-cert.gov/ncas/alerts/TA17-163A

Ez utóbbival kapcsolatban Rendition Infosec oldalán írtak arról a tanácsról, ami egy kicsit zavarbaejtő, lévén arról szól, hogy tegyük meg a szükséges lépéseket az ún. watering-hole támadások ellen. Lévén az ilyen támadások pont arról szólnak, hogy a célba vett szervezetek/személyek által egyébként is látogatott, legitim weboldalak/szerverek kompromittálásával helyeznek el a támadáshoz használt szoftverkomponenseket, így az ilyen támadások megelőzése gyakorlatilag lehetetlen.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr3712591515

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása