Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Új részleteket tár fel az Ukrenergo elleni 2016-os támadásról a Dragos most megjelent elemzése

Facebook Tumblr Tweet Pinterest Tetszik
0
2019. szeptember 21. - icscybersec

Másfél hete jelent meg a Dragos új elemzése a 2016. decemberében az Ukrenergo elleni kibertámadásról. Ahogy korábban én is írtam a második, ukrán ICS rendszerek ellen elkövetett támadás végül mindössze alig egy órán át tartó üzemzavart okozott, azonban még így is több fogyasztót érintett, mint a 2015-ben 4 Nyugat-ukrajnai áramszolgáltató elleni támadás.

A 2016. decemberi incidens után megjelent, a támadáshoz használt, CrashOverride/Industroyer néven ismert moduláris malware-ről szóló elemzések után most a Dragos egy részletesebb elemzést adott ki, amiben az egyik vezető kutatójuk, Joe Slowik újraértékelte a rendelkezésre álló információkat. Ezek alapján úgy véli, hogy a támadók célja egy, a végül bekövetkezettnél jóval szélesebb körű üzemzavar előidézése volt, ami pusztító hatású eseményekhez vezethetett volna.

Azt már korábban is tudni lehetett, hogy a CrashOverride/Industroyer malware egyik modulját kifejezetten a megszakítók vezérlésére tervezték, hogy az RTU-k vezérlésével idézzenek elő üzemzavart. Egy másik modulban egy ún. wiper célja a fontosabb konfigurációs és egyéb rendszerfájlok törlése volt, ezzel nehezítve az üzemzavar-elhárításához szükséges helyreállítást (hasonlóan, mint a 2015-ös támadás esetén, ahol a támadók nagy számú RTU-t tettek használhatatlanná, egyes hírek szerint még 2016. áprilisában is voltak olyan RTU-k, amiket az Nyugat-ukrajnai áramszolgáltatók nem tudtak kicserélni).

A CrashOverride/Industroyer eredeti elemzése során a kutatók egy olyan modult is felfedeztek, aminek a feladata egy, a Siemens SIPROTEC védelmekben még 2015-ben felfedezett sérülékenység (CVE-2015-5374) kihasználása volt, amivel egy szolgáltatás-megtagadásos támadással használhatatlanná lehet tenni a védelmet. Joe Slowik feltételezése szerint ennek a modulnak a feladata az lehetett, hogy az üzemzavar elhárítása után használhatatlanná tegye a védelmet, ami így nem lett volna képes megóvni az átviteli rendszer berendezéseit egy későbbi túlfeszültség esetén, ami egy időben jóval hosszabb és talán nagyobb kiterjedésű üzemzavarhoz vezetett volna.

Végül a támadók azért nem érték el a céljaikat, mert a szolgáltatás-megtagadásos támadáshoz használni tervezett programkód hibái miatt nem voltak képesek használhatatlanná tenni a SIPROTEC védelmeket és nem tudták kompromittálni azt a több száz vezérlő berendezést, amiket célba vettek.

A Dragos által Electrum-nak nevezett csoport 2016-os támadásáról készült részletes, 16 oldalas elemzés itt érhető el.

Szólj hozzá!
Ukrajna Siemens Electrum ICS biztonság

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr1015138960

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása