EKANS от типа рансъмуер изглежда е дело на „обикновени хакери”, което е знак за нова тенденция в кибер-престъпленията
Относително малко са случаите в историята на хакерството, когато някой злонамерен код се опитва да се намеси директно в индустриалните системи за управление – онези компютри, които свързват
цифровите и физическите системи. Тези редки "екземпляри” нанесоха големи поражения. Сега обаче се е появил нов вирус, който използва специфични познания за системите за контрол, за да ги атакува с
далеч по-семпла тактика: убива софтуерните процеси на жертвата, криптира основните данни и иска откуп, пише TechNews.bg.
През последния месец изследователи от няколко фирми за киберсигурност, като Sentinel One и Dragos, бяха озадачени от нов злонамерен софтуер, наречен Snake или EKANS, който – според тях – е създаден
специално за атакуване на индустриални системи за контрол. Вирусът може да порази софтуера и хардуера във всякакви предприятия – от петролни рафинерии до електроцентрали. Подобно на други
програми-изнудвачи (ransomware, рансъмуер), EKANS криптира данните, а после и показва на жертвата съобщение, изисквайки заплащане за "освобождаването” на данните.
Това не е всичко. EKANS е настроен така, че да прекрати 64 различни софтуерни процеса при жертвите. Много от тях са процеси, специфични за индустриалните системи за контрол. Това му позволява да
криптира данните, с които взаимодействат тези програми, и да попречи на реалния индустриален контрол. По този начин се нарушава мониторингът на индустриалните процеси. А това би могло да има
потенциално опасни последици.
EKANS се разглежда като вторият вирус-изнудвач, който атакува индустриалните системи за контрол, отбелязва публикация в Wired. Според Dragos, друг подобен рансъмуер е Megacortex, който за пръв път
се появи миналата пролет. Той бе настроен да убива процесите в индустриалния контрол и всъщност може да се смята за предшественик на EKANS, навярно дори разработен от същите хакери.
Естествени мишени
Един от големите въпроси, по който изследователите спорят сега, е дали новата програма, искаща откуп, е изработена от хакери, спонсорирани от някоя държава, или е дело на "обикновени
кибепрестъпници”, които нямат правителствена подкрепа, а просто търсят печалба.
Виталий Кремез, изследовател от Sentinel One, който пръв публикува откритието за EKANS по-рано този месец, заедно с група изследователи, известни като Malware Hunter Team, твърди, че системите за
контрол в промишлеността са "естествени мишени за нападателите, използващи софтуер за изнудване”. Подобно на болниците и правителствата, те имат много да губят, ако се окажат сринати. Тези машини
за индустриални системи за контрол са едни от най-ценните мишени, казва Кремез. Според него, при срив тези организации имат много големи основания да си платят на хакерите.
Изглежда, че точно това е и целта на хакерите. Зловредният код не е направен така, че непременно да прекрати индустриалните процеси, но намалява видимостта и разбирането за работната среда в
предприятията, които засегне, казва Джо Словик, изследовател, анализирал EKANS и Megacortex за Dragos. Все пак не е невъзможно да се стигне до срив на производствените процеси. Така е, защото един
от засегнатите процеси е проверката за лицензи на определен индустриален софтуер, а не е ясно дали машините биха работили с този софтуер при липса на данни за валиден лиценз.
Сигнал за нова тенденция
За изследователите обаче EKANS е по-скоро сигнал, че индустриалното хакване се разпространява в средите на "обикновените киберпрестъпници”. Анализът на "пътя” на вируса подсказва, че той не е дело
на хакери, спонсорирани от някое правителство. Основание за тези размишления дава фактът, че първата жертва на EKANS е петролна рафинерия, а софтуерните процеси, които вирусът атакува, касаят
конкретен индустриален софтуер, който не е типичен за рафинериите.
Според израелската фирма за киберсигурност Otorio пък изнудваческият код е дело на ирански хакери, спонсорирани от държавата.
Дебатът продължава, но специалистите по киберсигурност смятат, че ако все пак се окаже, че вирусът е на "обикновени хакери”, това би било знак за нова тенденция в киберсигурността. Обичайно
ресурсите, нужни за създаването на вируси за индустриални среди, са доста сериозни. Ако "обикновените киберпрестъпници” вече са добили толкова ресурси, че да могат да разработват вируси за
индустриални мишени без правителствена подкрепа, това ще е нова ера в кибервойните.
Това ще значи увеличаване и на желанието, и на способността на "недържавните" хакери да повлияят значително или да увреждат критични инфраструктури, казва Словик. А подобна перспектива може да се
окаже по-мрачна от кибервойната, в която са замесени политически играчи.