Около двух месяцев назад компания Dragos, Inc. обнаружила вредоносную программу, которая могла быть причастна к отключению электрических сетей Украины в 2016 году. Программа CRASHOVERRIDE и ей подобные являются опасными вирусами, специально созданными для нанесения урона энергосетям.
В ХХ веке индустриальный хакинг не был новостью
Отсутствие интернета не помешало группе хакеров в начале 80-х гг. прошлого века по заказу ЦРУ совершить кибер-атаку на сибирский нефтепровод, установив троянскую программу в SCADA-систему, что впоследствии вызвало взрыв нефтепровода. Объяснением причин и обстоятельств тех лет стала книга Томаса Рида «At the Abyss: An Insider’s History of the Cold War» («В бездне: история Холодной войны глазами участника»), в которой автор говорит не только о взломах жизненно-важных структур государств, но и средствах политической борьбы с СССР.
Рабочие нефтяной компании Chevron в 1992 году пострадали от рук своего сослуживца, перед увольнением взломавшего компьютеры в офисах компании. Произошла утечка ядовитого вещества, а система, ранее перенастроенная хакером, не оповестила о сбое, и рабочие примерно в течение 10 часов подвергали свое здоровье большому риску.
В 1994 году была взломана сеть компании «Salt River Project», отвечающей за водо- и электроснабжение. Атаки не обошли стороной и аэропорт Worcester в 1997, а также два года спустя нашу отечественную компанию «Газпром». В Венесуэле пострадала в 2002 году нефтедобывающая компания PDVSA, добыча нефти в которой сократилась по объемам почти в десять раз. Не могли избежать этой участи и светофоры города Лос-Анджелес, а в 2008 году подросток взломал трамвайные сети, что создало угрозу жизни пассажирам трамваев.
Это далеко не полный список направленных атак на промышленные объекты и инфраструктуры. Уже тогда приходилось задумываться о цене последствий кибер-атак.
Stuxnet: начало
2010 год ознаменовал начало так называемых кибернетических войн, когда в конце сентября в сети распространилась информация о вирусе Stuxnet, причинившем довольно ощутимый ущерб Иранскому государству. Вирусом была поражена больше, чем одна пятая от общего количества центрифуг на заводе по обогащению урана в Натанзе, из-за него был отложен запуск ядерной АЭС в Бушере. Мощно, правда?
Тогда, семь лет назад, вирус был признан одним из самых сложных согласно экспертным мнениям Лорана Эсло, руководителя отдела систем Symantec, и Франка Ригера, технического директора GSMK(немецкая компания, производящая телефоны с функциями шифрования данных.- Прим. редакции), ориентировочная сумма создания проекта — 3 млн. долларов, и усилия команды до десяти человек в течение полугода, как минимум. Евгений Касперский, генеральный директор «Лаборатории Касперского», был уверен в том, что вирус, направленный на поражение производственных процессов, является оружием военной ориентировки.
Stuxnet нарушал нормальную работу системы автоматизации SIMATIC, которую производила компания Siemens.
Семейство систем автоматизации SIMATIC используется в промышленных системах управления производственными процессами.
Industroyer — часть CrashOverride
Отчет компании Dragos, Inc. содержит информацию о программе CrashOverride, который является tradecraft-ом (программа для поиска и сбора данных, своеобразный агент разведки в кибер-среде) и способен останавливать работу энергосетей на неопределенный срок. CrashOverride имеет несколько модулей, которые характерны для стеков протоколов (иерархический набор правил и действий для работы с данными) ICS. Остальные модули представляют собой очиститель, удаляющий файлы и процессы во время работы системы. Сотрудники компании, исследовавшие данное ПО, считают, что оно использовало не все свои возможности — это говорит о тестовом характере атаки. Также имеется предположение, что главной целью всех этих мероприятий являются промышленные предприятия Соединенных Штатов Америки.
Программное обеспечение, доставившее столько хлопот в прошлом, называется Industroyer, которое было изучено исследователями ESET (международный разработчик антивирусной продукции. - Прим. редакции). Хотя данная атака была названа лишь проверкой поведения ПО, следует учитывать, что оно может нанести ощутимый вред электроэнергетическим системам, а также может быть изменено и для нанесения вреда другим важнейшим инфраструктурам государств.
ESET изучил часть CrashOverride, которое назвал Industroyer.
Industroyer —это модульная программа, которая способна управлять выключателями на электрических станциях. Свободный доступ к оборудованию может привести к его физическим повреждениям или остановке работы. В арсенале Industroyer присутствуют DoS-атаки (доведение систем до отказа работы серверов), бэкдоры (программы для дистанционного управления зараженным компьютером), модули для работы с протоколами.
Составные компоненты Industroyer
Основной бэкдор подключается к удаленному серверу и получает команды к действию. Образцы ПО были привязаны к одному прокси-адресу, который расположен в локальной сети. Отличительной особенностью данного бэкдора является возможность задания времени запуска и работы программы, что усложняет его выявление, так как обычно такого рода программы обнаруживаются только путем проверок сетевого трафика. Однако образцы, изученные к данному моменту, работали круглосуточно.
Создатели ПО позаботились о его защите путем дополнительного бэкдора, который в случае отключения или обнаружения основного, восстановит доступ к целевой сети.
Три компонента программы выполняют каждый свою функцию. Компонент запуска был запрограммирован на дату и время активации: 17 декабря 2016 и 20 декабря того же года, компонент очистителя данных должен был усложнить восстановление компьютерной сети после поражения и компонент для выдачи команд определенным устройствам.
«Устойчивость Industroyer в системе и его способность напрямую влиять на работу промышленного оборудования делает его наиболее опасной угрозой со времен Stuxnet, нанесшего урон ядерной программе Ирана», – говорит Антон Черепанов, старший вирусный аналитик ESET.
Часть инструментов работы программы, в том числе и «очиститель» данных, похожи на инструменты атак BlackEnergy, произошедших в 2015 году на энергокомпании Украины.
Слабость современных инфраструктур заключается в том, что протоколы были созданы десятилетиями назад, когда не стоял вопрос о необходимости обеспечения безопасности сетей предприятий (в то время объекты промышленности были изолированы от внешнего мира, и о возможном заражении их сетей вредоносным ПО практически не было и речи).
Компоненты программы разработаны для повреждения конкретных марок оборудования, что говорит о его профессиональной разработке людьми, понимающими принципы работы электрооборудования.
Industroyer способен управлять выключателями подстанции электроэнергии и автоматическими выключателями напрямую, используя промышленные протоколы связи, которые используются, например, в водо- и газоснабжении. Повреждение какой-либо части данных структур государства, направленных на удовлетворение естественных потребностей человека, может привести к недовольству граждан.
Лия Зайцева, редакция Include
Фотография обложки: Flickr, CCB- NC-ND2.0
