Industroyer - Википедия - Industroyer
Industroyer[1] (также называемый Crashoverride) это вредоносное ПО фреймворк, который, как считается, использовался в кибератаке на Украина Электросети 17 декабря 2016 года.[2] [3] [4] Атака сократила пятую часть Киев, столица, отключилась на один час и считается масштабным испытанием. [5][6] Инцидент в Киеве стал второй кибератакой на энергосистему Украины за два года. В первая атака произошло 23 декабря 2015 г.[7] Industroyer - первое известное вредоносное ПО, специально разработанное для атак электрические сети.[8]В то же время это четвертое вредоносное ПО, которое было открыто нацелено на системы промышленного управления, после Stuxnet, Havex, и ЧерныйЭнергия.
Открытие и наименование
Вредоносную программу обнаружила словацкая компания по интернет-безопасности ESET. ESET и большинство компаний, занимающихся кибербезопасностью, обнаруживают его под названием «Industroyer».[9][10]Фирма по кибербезопасности Dragos назвала вредоносное ПО Crashoverride. [8]
Описание
Детальный анализ Industroyer [11]выявили, что вредоносное ПО предназначено для нарушения рабочих процессов промышленных систем управления, в частности, используемых в электрические подстанции.Industroyer - это модульное вредоносное ПО; его основные составляющие:
- Основное задняя дверь используется для управления всеми остальными компонентами вредоносного ПО. Он подключается к своим удаленным серверам Command & Control, чтобы получать команды от злоумышленников.
- Дополнительный бэкдор предоставляет альтернативный механизм устойчивости, который позволяет злоумышленникам восстановить доступ к целевой сети в случае обнаружения и / или отключения основного бэкдора.
- Компонент пусковой установки - это отдельный исполняемый файл, отвечающий за запуск компонентов полезной нагрузки и компонента очистки данных. Компонент запуска содержит конкретное время и дату активации; проанализированные образцы содержали две даты: 17 декабря 2016 г. и 20 декабря 2016 г. (Примечание: первая дата была датой фактического проведения атаки).
- Четыре полезная нагрузка составные части нацелены на конкретные промышленные протоколы связи указанные в следующих стандартах: МЭК 60870-5-101, МЭК 60870-5-104, МЭК 61850 и OLE для доступа к данным управления процессами (Доступ к данным OPC). Функциональные возможности компонентов полезной нагрузки включают отображение сети, а затем выдачу команд конкретным промышленным устройствам управления.
- Компонент очистителя данных предназначен для удаления важных для системы Ключи реестра и перезаписывать файлы, чтобы система не загружалась и не восстанавливалась после атаки.
Смотрите также
Рекомендации
- ^ Испанская видео конференция CCN-CERT STICS 2017. «Видео-Youtube».
- ^ "Официальное заявление НПЦ Укрэнерго". Facebook. 2016-12-18.
- ^ Павел Политюк, Олег Вукманович и Стивен Жюкс (18.01.2017). «Отключение электроэнергии на Украине было кибератакой: Укрэнерго». Рейтер.
- ^ Черепанов, Антон (17.06.2017). «Industroyer: самая большая угроза системам управления производством со времен Stuxnet». www.welivesecurity.com. ESET.
- ^ Зеттер, Ким (2017-01-17). «Украинская энергосистема снова взломана». Материнская плата.
- ^ "'Crash Override ': Вредоносное ПО, разрушившее энергосистему ". ПРОВОДНОЙ. Получено 2018-01-22.
- ^ «Продолжающаяся сложная кампания по борьбе с вредоносным ПО, компрометирующая ICS (обновление E) | ICS-CERT». ics-cert.us-cert.gov. Получено 2018-01-22.
- ^ а б Dragos Inc. (12 июня 2017 г.). «CRASHOVERRIDE Анализ угрозы для работы электрических сетей» (PDF). Драгош.
- ^ "Обнаружение основных бэкдоров Industroyer". Virustotal. 2017-06-27.
- ^ «Обнаружение компонентов очистителя данных Industroyer». Virustotal. 2017-06-27.
- ^ Черепанов, Антон (12.06.2017). «WIN32 / INDUSTROYER Новая угроза для промышленных систем управления» (PDF). www.welivesecurity.com. ESET.
дальнейшее чтение
- ENISA «Защита промышленных систем управления. Рекомендации для Европы и государств-членов». 2011-12-14.
- ДЕПАРТАМЕНТ БЕЗОПАСНОСТИ ДОМА США «Рекомендуемая практика: разработка систем управления производством, возможность реагирования на инциденты кибербезопасности» (PDF). 2009-10-01.
- Энди Гринберг (20.06.2017). «Как целая нация стала российской испытательной лабораторией для кибервойны». Проводной.