Промышленник

Промышленник ^[1] (также известный как Crashoverride ) — это вредоносная программа, которая, как полагают, использовалась при кибератаке на . энергосистему Украины 17 декабря 2016 года ^[2] ^[3] ^[4] В результате нападения пятая часть столицы Киева была обесточена на один час и считается масштабным испытанием. ^[5] ^[6] Инцидент в Киеве стал второй кибератакой на энергосистему Украины за два года. Первое нападение произошло 23 декабря 2015 года. ^[7] Industroyer — первое известное вредоносное ПО, специально разработанное для атак на электрические сети . ^[8] В то же время это четвертая публично обнаруженная вредоносная программа, нацеленная на промышленные системы управления , после Stuxnet , Havex и BlackEnergy .

Открытие и присвоение имени

Вредоносное ПО было обнаружено словацкой компанией по обеспечению интернет-безопасности ESET . ESET и большинство компаний, занимающихся кибербезопасностью, распознают его под именем «Industroyer». ^[9] ^[10] Фирма по кибербезопасности Dragos назвала вредоносное ПО «Crashoverride». ^[8] В 2022 году российская хакерская группа Sandworm инициировала отключение электроэнергии в Украине, используя вариант «Индустроя», удачно названный «Индустрой2». ^[11]

Описание

Детальный анализ Индустроя ^[12] выявило, что вредоносное ПО было разработано для нарушения рабочих процессов промышленных систем управления, в частности тех, которые используются на электрических подстанциях . Industroyer — модульное вредоносное ПО; его основными компонентами являются следующие:

Главный бэкдор используется для контроля над всеми остальными компонентами вредоносного ПО. Он подключается к своим удаленным серверам управления и контроля, чтобы получать команды от злоумышленников.
Дополнительный бэкдор обеспечивает альтернативный механизм сохранения, который позволяет злоумышленникам восстановить доступ к целевой сети в случае, если основной бэкдор будет обнаружен и/или отключен.
Компонент запуска — это отдельный исполняемый файл, отвечающий за запуск компонентов полезной нагрузки и компонента очистки данных. Компонент запуска содержит определенное время и дату активации; проанализированные образцы содержали две даты: 17 декабря 2016 г. и 20 декабря 2016 г. (Примечание: первая дата была датой фактического начала атаки.)
Четыре полезной нагрузки компонента предназначены для определенных протоколов промышленной связи , указанных в следующих стандартах: IEC 60870-5-101 , IEC 60870-5-104 , IEC 61850 и OLE для доступа к данным управления процессом ( доступ к данным OPC ). Функциональность компонентов полезной нагрузки включает в себя отображение сети и последующую выдачу команд конкретным устройствам промышленного управления.
Компонент очистки данных предназначен для стирания важных для системы ключей реестра и перезаписи файлов, что делает систему незагружаемой и затрудняет восстановление после атаки.

См. также

Ссылки

^ Испанское видео Конференция CCN-CERT STICS 2017. «Видео-Youtube» . Ютуб . {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
^ «Официальное заявление НЭК «Укрэнерго» . Фейсбук. 18 декабря 2016 г.
^ Павел Политюк, Олег Вукманович и Стивен Джукс (18 января 2017 г.). «Отключение электроэнергии в Украине было кибератакой: Укрэнерго» . Рейтер.
^ Черепанов, Антон (17 июня 2017 г.). «Industroyer: Самая большая угроза для промышленных систем управления со времен Stuxnet» . www.welivesecurity.com . ЕСЕТ.
^ Зеттер, Ким (17 января 2017 г.). «Украинская электросеть снова была взломана» . Материнская плата.
^ « 'Crash Override': вредоносная программа, которая разрушила энергосистему» . ПРОВОДНОЙ . Проверено 22 января 2018 г.
^ «Текущая кампания по комплексному вредоносному ПО, ставящему под угрозу ICS (обновление E) | ICS-CERT» . ics-cert.us-cert.gov . Проверено 22 января 2018 г.
^ Перейти обратно: ^а ^б Драгос Инк. (12 июня 2017 г.). «CRASHOVERRIDE Анализ угроз работе электросетей» (PDF) . Драгош.
^ «Обнаружение основных бэкдоров Industroyer» . Вирустотал. 27 июня 2017 г.
^ «Обнаружение компонентов очистки данных Industroyer» . Вирустотал. 27 июня 2017 г.
^ Гринберг, Энди. «Российские хакеры-песчаные черви предприняли третью попытку отключения электроэнергии на Украине» . Проводной . ISSN 1059-1028 . Проверено 13 апреля 2022 г.
^ Черепанов, Антон (12 июня 2017 г.). «WIN32/INDUSTROYER: новая угроза для промышленных систем управления» (PDF) . www.welivesecurity.com . ЕСЕТ.

Дальнейшее чтение

ЭНИСА «Защита систем промышленного контроля. Рекомендации для Европы и государств-членов» . 14 декабря 2011 г.
ДЕПАРТАМЕНТ ВНУТРЕННЕЙ БЕЗОПАСНОСТИ США «Рекомендуемая практика: разработка систем промышленного управления, возможности реагирования на инциденты кибербезопасности» (PDF) . 1 октября 2009 г.
Энди Гринберг (20 июня 2017 г.). «Как вся нация стала российской испытательной лабораторией кибервойны» . Проводной.
Майкл Макфейл; Джордан Ханна; Даниэль Ребори-Карретеро (декабрь 2021 г.). «Инженерия обнаружения в промышленных системах управления. Атака в Украине, 2016 г.: команда Sandworm и практический пример промышленного предприятия» . mitre.org . МИТРА.

[1] Испанское видео Конференция CCN-CERT STICS 2017. «Видео-Youtube» . Ютуб . {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )

[2] «Официальное заявление НЭК «Укрэнерго» . Фейсбук. 18 декабря 2016 г.

[]_Pavel_Polityuk,_Oleg_Vukmanovic_and_Stephen_Jewkes:_Ukraine's_power_outage_was_a_cyber_attack:_Ukrenergo-3] Павел Политюк, Олег Вукманович и Стивен Джукс (18 января 2017 г.). «Отключение электроэнергии в Украине было кибератакой: Укрэнерго» . Рейтер.

[We_live_security-4] Черепанов, Антон (17 июня 2017 г.). «Industroyer: Самая большая угроза для промышленных систем управления со времен Stuxnet» . www.welivesecurity.com . ЕСЕТ.

[Motherboard-5] Зеттер, Ким (17 января 2017 г.). «Украинская электросеть снова была взломана» . Материнская плата.

[6] « 'Crash Override': вредоносная программа, которая разрушила энергосистему» . ПРОВОДНОЙ . Проверено 22 января 2018 г.

[7] «Текущая кампания по комплексному вредоносному ПО, ставящему под угрозу ICS (обновление E) | ICS-CERT» . ics-cert.us-cert.gov . Проверено 22 января 2018 г.

[Dragos-8] Перейти обратно: ^а ^б Драгос Инк. (12 июня 2017 г.). «CRASHOVERRIDE Анализ угроз работе электросетей» (PDF) . Драгош.

[Virustotal1-9] «Обнаружение основных бэкдоров Industroyer» . Вирустотал. 27 июня 2017 г.

[Virustotal2-10] «Обнаружение компонентов очистки данных Industroyer» . Вирустотал. 27 июня 2017 г.

[11] Гринберг, Энди. «Российские хакеры-песчаные черви предприняли третью попытку отключения электроэнергии на Украине» . Проводной . ISSN 1059-1028 . Проверено 13 апреля 2022 г.

[We_live_security2-12] Черепанов, Антон (12 июня 2017 г.). «WIN32/INDUSTROYER: новая угроза для промышленных систем управления» (PDF) . www.welivesecurity.com . ЕСЕТ.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]