То е за целеви атаки срещу промишлени обекти е по-опасно от Stuxnet
Ново кибероръжие може да се окаже по-ефективно от прочутия Stuxnet при атаки срещу енергийната инфраструктура. Става въпрос за програмата Industroyer, която позволява на хакерите пряко да
управляват превключвателите и прекъсвачите в електрическите подстанции, пише TechNews.bg.
Наименованието Industroyer идва от английските думи Industry (промишленост) и Destroyer (разрушител). Атаките с вируса могат да доведат както до просто изключване на подаването на електроенергия,
така и до значителни повреди на оборудването.
Според антивирусната компания Eset, именно тази програма е използвана в кибератаките срещу електрическата мрежа на Украйна в края на миналата година. Industroyer заразява обикновени РС, на които
работят системи за управление на промишлени контролери.
Програмата използва четири промишлени протокола за връзка, разпространени в енергетиката, транспорта, водоснадяването и други критични инфраструктури – по-конкретно IEC 60870-5-101, IEC
60870-5-104, IEC 61850 и OPC DA. Тези протоколи са разработени преди десетилетия, когато проблемите с киберсигурността не стояха така остро както днес.
Съвременните изисквания за сигурност въобще не са застъпени в промишлените протоколи. Авторите на Industroyer просто са използвали слабите места в тези протоколи. Според специалистите на Eset,
вирусът Industroyer е най-голямата заплаха за промишлените системи за управление от Stuxnet насам.
Stuxnet, открит през септември 2010 г., се счита за първото кибернетично оръжие. Вирусът порази ядрени обекти в Иран, като използва уязвимост в операционната система Windows и атакува системи за
автоматизирано управление на Siemens.
Специалистите са на мнение, че Industroyer е написан от опитни програмисти, които са запознати отлично с промишлените системи и проблемите в сигурността на комуникационните и компютърни мрежи.
Industroyer има модулна архитектура с бекдор в ядрото, който се инсталира на работна станция и получава команди и други компоненти от отдалечен команден сървър.
Програмата съдържа четири компонента за прихващане на контрола върху превключвателите и прекъсвачите на електрическите вериги в електростанциите. Всеки от тези компоненти използва някой от
протоколите за обмен на промишлени данни. Освен това Industroyer включва допълнителен бекдор, който влиза в действие, ако основният бекдор бъде открит и елиминиран.
Предвидени са също скенер на портове, който търси устройства, включени към локалната мрежа, и модул за унищожаване на данни, който изтрива и самия Industroyer и изважда от строя по-рано заразени
компютри, за да забави възстановяването на подаването на електрическа енергия. Включен и модул за DoS атаки.
От няколко години експертите алармират за критичната ситуация с киберзащитата на промишлените системи по целия свят и, че целевите атаки срещу тях са само въпрос на време. Industroyer потвърждава
правдивостта на тези опасения. За съжаление, единственият начин за гарантирана защита от подобни атаки е смяна на архитектурата на промишлените системи.