I ricercatori ESET hanno analizzato questo malware sofisticato ed estremamente pericoloso, progettato per interrompere i processi industriali critici.
L’attacco del 2016 alla rete elettrica ucraina che ha privato Kiev di energia elettrica per un’ora, è stata causata da un attacco informatico. I ricercatori ESET hanno analizzato alcuni campioni di malware, rilevati da ESET come Win32/Industroyer, in grado di effettuare esattamente lo stesso tipo di attacco. È ancora da confermare se lo stesso malware sia stato realmente coinvolto in quello che gli esperti di sicurezza informatica considerano un test su larga scala. In ogni caso, il malware è in grado di causare danni significati ai sistemi di alimentazione elettrica e potrebbe essere adattato per colpire altri tipi di infrastrutture critiche.
Figura 1: Schema dell’operazione Industroyer
Industroyer è una minaccia particolarmente pericolosa, in quanto è capace di controllare direttamente gli switch delle sottostazioni elettriche e gli interruttori dei circuiti. Per farlo, usa i protocolli di comunicazione industriale usati in tutto il mondo nelle infrastrutture di alimentazione energetica, nei sistemi di controllo dei trasporti e in altri sistemi di infrastrutture critiche (acqua, gas). Questi switch sono l’equivalente digitale degli interruttori analogici e tecnicamente possono essere programmati per svolgere varie funzioni. Pertanto, il potenziale impatto può variare dalla semplice interruzione nella distribuzione di energia, passando per vari guasti, fino a danni più gravi alle apparecchiature e tutto ciò può cambiare da una sottostazione all’altra. Inutile dire che l’interruzione di tali sistemi può influire direttamente o indirettamente sul funzionamento dei servizi vitali.
La pericolosità di Industroyer risiede nel fatto che utilizza i protocolli sfruttandone semplicemente lo scopo per cui sono stati creati. Il problema è che questi sono stati progettati decenni fa e in quel momento i sistemi industriali dovevano essere isolati dal mondo esterno. Così, i loro protocolli di comunicazione non erano ideati per essere sicuri se connessi alla rete. Ciò significa che gli aggressori non hanno bisogno di cercare vulnerabilità nel protocollo; tutto quello di cui hanno bisogno è insegnare al malware a “parlare” con quei protocolli.
La recente interruzione energetica si è verificata il 17 Dicembre del 2016, quasi a un anno esatto dal famoso attacco informatico del 23 Dicembre del 2015 che ha causato un blackout così vasto da interessare circa 250000 famiglie in diverse regioni Ucraine. Nel 2015, i criminali hanno infiltrato nelle reti di distribuzione elettrica il malware BlackEnergy, insieme al KillDisk e ad altri componenti pericolosi, e poi hanno sfruttato un software legittimo di accesso remoto per controllare le workstation degli operatori e interrompere la distribuzione di energia. Comunque a parte il voler colpire la rete elettrica Ucraina, non ci sono altre evidenti similitudini tra il codice del BlackEnergy e quello dell’Industroyer.
Struttura e funzionalità principali
L’Industroyer è un malware modulare. Il suo componente principale è una backdoor usata dai criminali per condurre l’attacco: installa e controlla gli altri componenti e si connette a un server remoto per ricevere dei comandi e fornire rapporti ai criminali.
Quello che distingue l’Industroyer a parte l’obiettivo del malware è l’utilizzo di quattro componenti della payload, che sono stati progettati per poter ottenere il controllo diretto degli switch e degli interruttori di circuito di una sottostazione di distribuzione elettrica. Ognuno di questi componenti si occupa di determinati protocolli di comunicazione specificati nei seguenti standard: IEC 60870-5-101, IEC 60870-5-104, IEC 61850, e OLE for Process Control Data Access (OPC DA).
Generalmente, le routine di infezione lavorano per fasi, i cui obiettivi sono la mappatura della rete, l’individuazione del bersaglio e l’invio dei comandi specifici per i dispositivi di controllo industriale da manomettere. Le payload dell’Industroyer dimostrano la competenza e la profonda comprensione dei sistemi di controllo industriale da parte degli autori del malware.
Figura 2: Componente del malware Industroyer
Il malware contiene ulteriori funzionalità progettate per impedirne la rilevazione, assicurarne la persistenza e cancellarne ogni traccia dopo il termine delle sue attività.
Per esempio, la comunicazione nascosta in Tor con i server di comando e controllo può essere limitata alle sole ore non lavorative. Inoltre, sfrutta una seconda backdoor – che viene nascosta nell’applicazione Notepad – progettata per riottenere l’accesso alla rete da infettare nel caso la backdoor principale venga individuata e/o disattivata. Il suo modulo di cancellazione è stato ideato per eliminare le chiavi di Registro di sistema principali e sovrascriverne i file, così da rendere impossibile l’avvio del sistema stesso e maggiormente difficile il ripristino. Altro dettaglio interessante è lo scanner di porte che mappa la rete, cercando di identificare i computer da attaccare: i criminali hanno creato un loro tool invece di utilizzare un software esistente. Infine, c’è un altro modulo, uno strumento Denial-of-Service che sfrutta la vulnerabilità CVE-2015-5374 negli apparati Siemens SIPROTECT e che può rendere i dispositivi colpiti inutilizzabili.
Conclusione
Industroyer è un malware altamente personalizzabile. Pur essendo universale, in quanto può essere sfruttato per attaccare qualsiasi sistema di controllo industriale, utilizzando solo alcuni dei protocolli di comunicazione previsti, alcuni dei componenti presenti nei campioni analizzati sono stati progettati per il determinate tipologie di hardware. Ad esempio, il componente di cancellazione e uno dei componenti della payload sono stati ideati per essere utilizzati nei sistemi incorporati in determinati prodotti di controllo dell’alimentazione industriale dell’ABB e il componente DoS funziona in modo specifico negli apparecchi Siemens SIPROTECT, utilizzati nelle sottostazioni elettriche e in altri campi di applicazione.
Se in linea di principio è difficile attribuire la paternità degli attacchi al malware senza effettuare una verifica sul sito colpito, è molto probabile che l’Industroyer sia stato usato a dicembre del 2016 per attaccare la rete elettrica Ucraina. Oltre all’evidente capacità del malware di compiere questo tipo di attacchi, il suo codice contiene un marcatore temporale che indica il 17 dicembre 2016, proprio il giorno dell’interruzione elettrica.
L’attacco del 2016 alla rete elettrica Ucraina ha attirato molto meno l’attenzione rispetto all’attacco dell’anno precedente. Rimane il fatto che il Win32/Industroyer sia un malware molto avanzato nelle mani di criminali esperti e determinati. La sua capacità di rimanere nel sistema e di interrompere processi industriali critici lo rende estremamente pericoloso. Indipendentemente dal fatto che il recente attacco alla rete elettrica Ucraina sia stato o meno un test, ciò dovrebbe rappresentare un campanello d’allarme per tutti i responsabili della sicurezza di sistemi critici nel mondo.
Per maggiori informazioni, per qualsiasi domanda o per inviare dei campioni della minaccia si prega di scrivere a: assistenza@eset.it.
Lascia un commento