Cesko.wiki Industroyer
Author
Albert FloresMalware Industroyer (též jinak nazývaný jako Crashoverride) je frameworkem pro malware, který byl použit v prosinci 2016 pro kybernetický útok na energetickou síť na Ukrajině. Poslední útok zasáhl polovinu města Kyjev, hlavního města Ukrajiny a odříznul pětinu města od elektrické energie na více než hodinu. Kyjevský incident byl druhým kybernetickým útokem na ukrajinskou energetickou síť během dvou let. První útok nastal v prosinci 2015. Industroyer je první známý malware zaměřující se speciálně na energetické sítě.
Objev a pojmenování
Malware byl objeven výzkumníky bezpečnostní firmy ESET. Společnost ESET i další bezpečnostní společnosti jej detekují jako „Industroyer“, ačkoliv kyberbezpečnostní firma Dragos tento malware pojmenovala „Crashoverride“.
Popis
Detailní analýza malware Industroyer odhalila, že tento malware byl navržen tak, aby přerušil procesy v rámci průmyslových řídících systému ICS, především těch v elektrických rozvodnách. Sám o sobě je malware Industroyer modulárním malwarem, jeho hlavními komponentami jsou:
* Hlavní zadní vrátka (backdoor) jsou použitá k řízení ostatních komponent tohoto malware. Umožňuje se spojit se vzdáleným řídícím serverem za účelem získání příkazu, který má provést v rámci infikovaného systému. +more * Přídavná zadní vrátka poskytují sekundární mechanismus k zajištění přetrvávání malware, toto umožňuje útočníkům získat přístup zpět do sítě i poté, co byla odhalena a odstraněna hlavní zadní vrátka * Spouštěč je oddělený program zodpovědný za spouštění dalších komponent. Tato komponenta má v sobě zabudovaný čas svého spuštění. * Čtyři útočné komponenty jsou speciální komponenty průmyslových protokolů o standardech IEC 60870-5-101, IEC 60870-5-104, IEC 61850 a OLE for Process Control Data Access (OPC Data Access, OPC DA). Funkce těchto komponent zahrnují mapování sítě a zadávání příkazů průmyslovým řídícím jednotám za použití těchto protokolů. * Komponenta pro výmaz dat je navržena tak, aby smazala důležité záznamy z klíčů registrů operačních systémů a přepsala soubory tak, aby systém již nenastartoval a obnova z útoku nebyla možná.