CrashOverRide/Industroyer – nowe zagrożenie dla sieci elektroenergetycznych

Specjaliści z firmy ESET wykryli groźny malware, który mógł stać za awarią sieci elektroenergetycznych na Ukrainie w grudniu 2016 roku. Malware, nazwany CrashOverRide lub Industroyer, umożliwia przejęcie kontroli nad urządzeniami na podstacjach, co może skutkować przerwami w dostępie prądu, awariami, a nawet uszkodzeniem sprzętu.

Wykryty malware instaluje się na stacjach działających pod kontrolą systemu Windows, a z urządzeniami przemysłowymi komunikuje się wykorzystując powszechnie znane protokoły komunikacji (IEC 101, IEC 104, IEC 61850 oraz OPC). Ma budowę modułową, pozwalającą napastnikowi na dostosowanie działania do wykrytego sprzętu.

CrashOverRide/Industroyer jest stosunkowo trudny do wykrycia. Połączenia z serwerami C&C, z których oprogramowanie pobiera kolejne porcje kodu, odbywa się przez szyfrowane połączenie HTTPS, gdzie klient identyfikuje się jako zwykła przeglądarka internetowa. Ponadto serwery C&C ukryte są w sieci Tor. Wykrycie utrudnia również fakt, że malware podszywa się pod standardowe usługi systemowe działające w systemie Windows, uaktywnia się poza godzinami pracy, a część z jego modułów umożliwia czyszczenie śladów działania programu.

SHA-1 plików:

F6C21F8189CED6AE150F9EF2E82A3A57843B587D
CCCCE62996D578B984984426A024D9B250237533
8E39ECA1E48240C01EE570631AE8F0C9A9637187
2CB8230281B86FA944D3043AE906016C8B5984D9
79CA89711CDAEDB16B0CCCCFDCFBD6AA7E57120A
94488F214B165512D2FC0438A581F5C9E3BD4D4C
5A5FAFBC3FEC8D36FD57B075EBF34119BA3BFF04
B92149F046F00BB69DE329B8457D32C24726EE00
B335163E6EB854DF5E08E85026B2C3518891EDA8
7FAC2EDDF22FF692E1B4E7F99910E5DBB51295E6
ECF6ADF20A7137A84A1B319CCAA97CB0809A8454

Adresy C&C (uwaga, mogą dać false positive z uwagi na ich lokalizację w sieci Tor):
95.16.88[.]6
93.115.27[.]57
5.39.218[.]152
195.16.88[.]6
46.28.200[.]132
188.42.253[.]43

Źródła:

https://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-since-stuxnet/ – bardzo szczegółowa analiza (polecamy raport w PDF do pobrania z tej strony)

https://dragos.com/blog/crashoverride/ – bardzo szczegółowa analiza (polecamy raport w PDF do pobrania z tej strony)

http://thehackernews.com/2017/06/electric-power-grid-malware.html