Tajemnicze szkodliwe oprogramowanie atakuje przemysłowe systemy kontroli, zapożycza techniki Stuxneta

Naukowcy znaleźli program złośliwego oprogramowania, który został zaprojektowany do manipulowania systemami kontroli i gromadzenia danych (SCADA) w celu ukrycia rzeczywistych odczytów z procesów przemysłowych.

Ta sama technika została wykorzystana przez szkodliwe oprogramowanie sabotażowe Stuxnet, rzekomo stworzone przez USA i Izrael w celu zniszczenia irańskiego programu nuklearnego i przypisano niszczenie dużej liczby wirówek wzbogacających uran w kraju.

Nowe złośliwe oprogramowanie zostało odkryte w drugiej połowie w zeszłym roku naukowcy z firmy ochroniarskiej FireEye, nie w aktywnym ataku, ale w bazie danych VirusTotal. VirusTotal jest witryną należącą do Google, w której użytkownicy mogą przesyłać podejrzane pliki do skanowania przez silniki antywirusowe.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Tajemniczy program, który FireEye nazwał IRONGATE, był przesłane do VirusTotal przez kilka źródeł w 2014 r., kiedy to żaden z produktów antywirusowych używanych przez tę stronę nie wykrył go jako szkodliwego.

Zaskakujące jest również to, że żadna firma nie zidentyfikowała złośliwego oprogramowania do końca 2015 r., ponieważ próbki VirusTotal są automatycznie udostępniane ze wszystkimi producentami oprogramowania antywirusowego, którzy uczestniczą w projekcie.

Sam FireEye odkrył to, ponieważ firma szukała potencjalnie podejrzanych próbek skompilowanych za pomocą PyInstaller, techniki używanej przez różnych napastników. Dwa ładunki IRONGATE wyróżniały się, ponieważ zawierały odniesienia do SCADA i powiązanych funkcji.

Dobrą wiadomością jest to, że próbki wydają się być dowodem koncepcji lub częścią niektórych prac badawczych. Zostały zaprojektowane w celu znalezienia i zamiany określonej biblioteki DLL, która komunikuje się z SIMATIC S7-PLCSIM firmy Siemens, oprogramowania, które umożliwia użytkownikom uruchamianie programów na symulowanych programowalnych kontrolerach logicznych S7-300 i S7-400 (PLC).

Sterowniki PLC są wyspecjalizowane urządzenia sprzętowe, które monitorują i kontrolują procesy przemysłowe - wirujące silniki, zawory otwierające i zamykające itp. Przesyłają swoje odczyty i inne dane do oprogramowania monitorującego, interfejsu człowiek-maszyna (HMI), który działa na stacjach roboczych wykorzystywanych przez inżynierów.

Tak jak Stuxnet w irańskiej elektrowni jądrowej w Natanz, celem IRONGATE jest wstrzyknięcie się do procesu monitorowania SCADA i manipulowanie danymi pochodzącymi od sterowników PLC, potencjalnie ukrywając trwający sabotaż.

Stuxnet zrobił to przez zawieszenie działania PLC, więc raport prędkość wirnika wirówki pozostanie statyczna i mieści się w normalnych granicach, podczas gdy tak naprawdę nie była. IRONGATE zamiast tego zapisuje poprawne dane z PLC, a następnie ciągle odtwarza te dane - myślę, że złodzieje dostarczają to samo nagranie wideo do kamery monitorującej w pętli.

Fakt, że IRONGATE współdziała z symulatorem PLC i zastępuje bibliotekę DLL, która nie jest częścią standardowego zestawu produktów firmy Siemens, które skłoniło naukowców FireEye do przekonania, że ​​to złośliwe oprogramowanie było prawdopodobnie tylko testem.

Zespół ds. gotowości na awaryjny komputer firmy Siemens (ProductCERT) "potwierdził, że kod ten nie działałby wbrew standardowemu systemowi Siemens "Środowisko systemu sterowania", powiedział naukowiec FireEye w czwartek na blogu.

Jeśli jednak IRONGATE był tylko dowodem koncepcji opracowanej w 2014 r., mającym na celu sprawdzenie podobnego do Stuxneta ataku man-in-the-middle na sterowniki PLC, może to oznaczać, że od tego czasu jego twórcy stworzyli inny program szkodliwego oprogramowania, który działa przeciwko rzeczywistym wdrożeniom systemu sterowania przemysłowego (ICS). Tak czy inaczej, odkrycie IRONGATE powinno stanowić ostrzeżenie dla organizacji obsługujących systemy SCADA.

"Osoby atakujące nauczyły się i implementowały techniki Stuxnet, ale obrońcy tak naprawdę nie poprawili możliwości wykrywania szkodliwego oprogramowania atakującego ICS," Dale Peterson, CEO firmy ICS ds. bezpieczeństwa Digital Bond, powiedział w poście na blogu. "Potrzebujemy znacznej poprawy w zakresie możliwości wykrywania ataków integralności ICS."