Az elmúlt hét kifejezetten mozgalmas volt az ICS/OT kiberbiztonság világában, hiszen egyetlen hét alatt két, kifejezetten ICS/OT rendszereket célzó malware-ről érkeztek hírek.
Az elsőről a 2016-os, Ukrenergo (az ukrán villamosenergia-rendszerirányító) elleni kibertámadásról részletes elemzést készítő ESET adta ki és több ok miatt is a 2016-os támadáshoz használt malware neve (Industroyer) után Industroyer2-nek nevezték az új kártevőt. Az ESET-et ebben az esetben az ukrán állami kiberbiztonsági központ (a CERT-UA) vonta be az általuk talált malware elemzésébe és a szlovákiai központú cég munkatársai meg is tudták erősíteni az ukrán szakemberek gyanúját, hogy a most talált malware kapcsolatba hozható a 2016-os incidensben használt malware-rel. Emiatt erősen megalapozottnak látszik a feltételezés, hogy a támadás mögött ebben az esetben is a Sandworm néven elhíresült, a feltételezések szerint az orosz katonai titkosszolgálat, a GU (korábbi nevén GRU) támogatását élvező APT-csoport állhat. A CERT-UA bejelentése szerint az Industroyer2-t még az aktiválása (és így az ukrán villamosenergia-rendszerben előidézett üzemzavar előidézése) előtt sikerült felfedezni, így pedig a támadás fizikai világra gyakorolt hatásait megelőzni. Az ESET műszaki elemzését itt lehet elérni: https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/
Időközben pedig a CADO Security nevű cég már az Industroyer2 kereséséhez használható Yara szabályokat is elérhetővé tette a GitHub-on.
Mindössze egyetlen nappal az Industroyer2 publikálása után a DHS CISA és a Dragos részletes információkat hoztak nyilvánosságra egy másik, szintén ICS/OT rendszereket célzó, moduláris malware-ről, amit a Dragos Pipedream névre keresztelt (jó IT/OT biztonsági elemzőcéges szokás szerint a Mandiant is kiadott egy elemzést, ők ugyanennek a malware-nek az Incontroller nevet adták). A Dragos elemzése (röviden itt érhető el, regisztráció után a teljes verzió is letölthető PDF-formátumban) szerint a Pipedream egy olyan, nagyon alaposan tervezett és felépített malware, ami a MITRE ATT&CK for ICS támadási TTP-gyűjtemény támadási technikáinak 38%-át, a támadói taktikák 83%-át képes alkalmazni, ráadásul számos ICS gyártó (Schneider Electric, Omron, stb.) és ICS-specifikus technológiák, protokollok (CODESYS, Modbus, OPC UA, stb.). A Dragos elemzése külön kiemeli, hogy a most felfedezett és elemzés alá volt malware Schneider Electric és Omron termékekre volt felkészítve, de a modularitásából adódik a jogos feltételezés, hogy más modulokkal felvértezve más gyártók más termékeit is hatékonyan lehetnek képesek támadni a Pipedream megalkotói, akiket a Dragos elemzői Chernovite néven említenek (később majd róluk is lesz szó az ICS támadói csoportok sorozatban). A Pipedream/Incontroller malware-ről készült Mandiant elemzés itt található: https://www.mandiant.com/resources/incontroller-state-sponsored-ics-tool, a DHS CISA bejelentése pedig itt érhető el.
Szerk: Robert M. Lee (a Dragos alapító-vezérigazgatója) Twitter-posztjában külön hangsúlyozta annak a ténynek a jelentőségét, hogy a PipeDream/Incontroller malware mindezidáig nem okozott üzemzavart a működésével. Ez nem jelenti azt, hogy ne egy (vagy több?) ipari szervezet hálózatában találták volna az első példányt, azonban további részleteket ezzel kapcsolatban nem árult el.
