Industroyer

Industroyer^[1] (також згадується як Crashoverride) — це шкідливе програмне забезпечення, призначене для кібератаки на енергосистему України 17 грудня 2016.^[2]^[3]^[4] Атака порушила енергопостачання однієї п'ятої частини Києва і вважається масштабним випробуванням.^[5]^[6] Кібератака 17 грудня 2016 була другою кібератакою на енергосистему України за два роки. Перша атака відбулась 23 грудня 2015.^[7] Industroyer це перше відоме зловмисне програмне забезпечення, спеціально розроблене для атаки електромереж.^[8] У той же час це четверте зловмисне програмне забезпечення, націлене на автоматизовані системи керування технологічними процесами після Stuxnet, Havex(інші мови), та BlackEnergy.

Виявлення та найменування

Зловмисне програмне забезпечення було виявлено словацькою компанією з безпеки в Інтернеті ESET. ESET і більшість компаній з кібербезпеки виявляють його під назвою «Industroyer».^[9]^[10] Фірма з кібербезпеки Dragos назвала шкідливу програму «Crashoverride».^[8] У 2022 році російська хакерська група Sandworm ініціювала відключення електроенергії в Україні за допомогою варіанту Industroyer, який влучно назвали Industroyer2.^[11]

Опис

Детальний аналіз Industroyer показав, що зловмисне програмне забезпечення було розроблено для порушення робочих процесів промислових систем керування, зокрема тих, що використовуються на електричних підстанціях. Industroyer — це модульне шкідливе програмне забезпечення, його основними компонентами є наступні:

Головний бекдор використовується для контролю над усіма іншими компонентами шкідливого програмного забезпечення. Він підключається до своїх віддалених серверів керування, щоб отримувати команди від зловмисників.
Додатковий бекдор забезпечує альтернативний механізм збереження, який дозволяє зловмисникам відновити доступ до цільової мережі, якщо основний бекдор буде виявлено та/або вимкнено.
Компонент запуску — це окремий виконуваний файл, відповідальний за запуск компонентів корисного навантаження та компонента очищення даних. Компонент запуску містить певний час і дату активації; проаналізовані зразки містили дві дати: 17 грудня 2016 року та 20 грудня 2016 року. (Примітка: попередня дата була датою фактичної атаки.)
Чотири компоненти корисного навантаження націлені на певні промислові комунікаційні протоколи, визначені в таких стандартах: IEC 60870-5-101, IEC 60870-5-104, IEC 61850(інші мови) і OLE для доступу до даних керування процесом (OPC Data Access(інші мови)). Функції компонентів корисного навантаження включають створення карти мережі, а потім видачу команд конкретним промисловим пристроям керування.
Компонент очищення даних призначений для стирання важливих для системи ключів реєстру та перезапису файлів, щоб зробити неможливим завантаження системи та ускладнити відновлення після атаки.^[12]

Див. також

Примітки

↑ Spanish Video CCN-CERT STICS Conference 2017. Video-Youtube. YouTube.
↑ NPC Ukrenergo official statement. Facebook. 18 грудня 2016.
↑ Pavel Polityuk, Oleg Vukmanovic and Stephen Jewkes (18 січня 2017). Ukraine's power outage was a cyber attack: Ukrenergo. Reuters.
↑ Cherepanov, Anton (17 червня 2017). Industroyer: Biggest threat to industrial control systems since Stuxnet. www.welivesecurity.com. ESET.
↑ Zetter, Kim (17 січня 2017). The Ukrainian Power Grid Was Hacked Again. Motherboard.
↑ 'Crash Override': The Malware That Took Down a Power Grid. WIRED (амер.). Процитовано 22 січня 2018.
↑ Ongoing Sophisticated Malware Campaign Compromising ICS (Update E) | ICS-CERT. ics-cert.us-cert.gov (англ.). Процитовано 22 січня 2018.
↑ ^а ^б Dragos Inc. (12 червня 2017). CRASHOVERRIDE Analysis of the Threat to Electric Grid Operations (PDF). Dragos.
↑ Industroyer main backdoor detections. Virustotal. 27 червня 2017.
↑ Industroyer data wiper component detections. Virustotal. 27 червня 2017.
↑ Greenberg, Andy. Russia's Sandworm Hackers Attempted a Third Blackout in Ukraine. Wired (амер.). ISSN 1059-1028. Процитовано 13 квітня 2022.
↑ Cherepanov, Anton (12 червня 2017). WIN32/INDUSTROYER A new threat for industrial control systems (PDF). www.welivesecurity.com. ESET.

Подальше читання

Protecting Industrial Control Systems. Recommendations for Europe and Member States. ENISA. 14 грудня 2011.
Recommended Practice: Developing an Industrial Control Systems, Cybersecurity Incident Response Capability (PDF). МІНІСТЕРСТВО ВНУТРІШНЬОЇ БЕЗПЕКИ США. 1 жовтня 2009. 1 жовтня 2009 р.

Andy Greenberg (20 червня 2017). How an Entire Nation Became Russia's Test Lab For Cyberwar. Wired.
Michael McFail; Jordan Hanna; Daniel Rebori-Carretero (December 2021). Detection Engineering in Industrial Control Systems- Ukraine 2016 Attack: Sandworm Team and Industroyer Case Study. mitre.org. MITRE.

[1] Spanish Video CCN-CERT STICS Conference 2017. Video-Youtube. YouTube.

[2] NPC Ukrenergo official statement. Facebook. 18 грудня 2016.

[]_Pavel_Polityuk,_Oleg_Vukmanovic_and_Stephen_Jewkes:_Ukraine's_power_outage_was_a_cyber_attack:_Ukrenergo-3] Pavel Polityuk, Oleg Vukmanovic and Stephen Jewkes (18 січня 2017). Ukraine's power outage was a cyber attack: Ukrenergo. Reuters.

[We_live_security-4] Cherepanov, Anton (17 червня 2017). Industroyer: Biggest threat to industrial control systems since Stuxnet. www.welivesecurity.com. ESET.

[Motherboard-5] Zetter, Kim (17 січня 2017). The Ukrainian Power Grid Was Hacked Again. Motherboard.

[6] 'Crash Override': The Malware That Took Down a Power Grid. WIRED (амер.). Процитовано 22 січня 2018.

[7] Ongoing Sophisticated Malware Campaign Compromising ICS (Update E) | ICS-CERT. ics-cert.us-cert.gov (англ.). Процитовано 22 січня 2018.

[Dragos-8] а ^б Dragos Inc. (12 червня 2017). CRASHOVERRIDE Analysis of the Threat to Electric Grid Operations (PDF). Dragos.

[Virustotal1-9] Industroyer main backdoor detections. Virustotal. 27 червня 2017.

[Virustotal2-10] Industroyer data wiper component detections. Virustotal. 27 червня 2017.

[11] Greenberg, Andy. Russia's Sandworm Hackers Attempted a Third Blackout in Ukraine. Wired (амер.). ISSN 1059-1028. Процитовано 13 квітня 2022.

[We_live_security2-12] Cherepanov, Anton (12 червня 2017). WIN32/INDUSTROYER A new threat for industrial control systems (PDF). www.welivesecurity.com. ESET.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]