14.06.2017

Hackerský útok na elektrárnu v Ukrajině

Myslíte si, že virus, který vám smaže fotky na vašem disku nebo zcizí údaje o vašem bankovním účtu, je zákeřný a nebezpečný? Tak to se seznamte s následujícím kouskem, který je schopný odpojit část země od elektrické energie.

Cover 25

Na přelomu letošního roku proběhl na Ukrajině incident, který neměl jasné vysvětlení. Síť elektráren UkrEnergo měla více než hodinový výpadek, a tak se ocitla značná část hlavního města a okolní oblasti bez přísunu elektrické energie. Podle Vsevoloda Kovalchuka, výkonného ředitele UkrEnergo, jsou nejpravděpodobnější dvě varianty - selhání hardwaru nebo cílené napadení virem, přičemž vzhledem k nalezeným indiciím se vyšetřování přiklání spíše ke druhé možnosti. Útočník však tehdy po sobě samozřejmě zametl všechny stopy, a tedy po potenciálním útoku nezůstal žádný kód, který by bylo možné analyzovat a rekonstruovat tak proběhlou událost, případně zamezit jejímu opakování.

Odpovědí na to, co se tehdy skutečně stalo, by mohl být společností ESET nově objevený a analyzovaný vzorek malwaru Win32/Industroyer. Podle analýzy se jedná o překvapivě sofistikovaný kód. Nelze jej sice srovnávat s legendárním červem Stuxnet, ale i tak se jedná o velmi pokročilý nástroj cílený na systémy SCADA. Kód jen tupě nezablokuje nebo nesmaže data na infikovaném zařízení, ale naopak citlivě nahradí konkrétní kritické služby sloužící ke komunikaci s řídícími servery a nadále tuto komunikaci udržuje. V jeho jádru je totiž přímo implementován standard IEC 60870-5 pro vzdálenou kontrolu elektrotechnických aplikací.


V kódu bylo nalezeno několik indicií, které jej spojovaly se zmiňovaným útokem na elektrárny v Ukrajině. Podle analýzy ESETu je však kód modulární v tom smyslu, že je možné jej jednoduše upravit, aby jej bylo možné použít i na jiné typy SCADA systémů, od elektráren v jiných zemích až po dopravní nebo komunikační sítě. US CERT, americký tým kybernetické bezpečnosti, vydal v reakci na tuto analýzu varování pro území Spojených států spolu se seznamem YARA pravidel pro snadnou identifikaci případné hrozby.
Více na www.welivesecurity.com

Kam dál?