Ukrajinský výpadek elektrické energie, ke kterému došlo loni 17. prosince, navázal na podobnou akci hackerů z roku 2015, kdy zůstalo bez elektřiny na 250 tisíc ukrajinských domácností.

Analytici společnosti ESET nyní odhalili spojitost mezi loňským útokem a vzorky malwaru, který detekovali jako Win32/Industroyer. Výpadek elektřiny v Kyjevě podle nich mohl být jen testem, zda je malware funkční a přípravou na daleko rozsáhlejší útok, který se nemusí soustředit pouze na rozvodny elektrického proudu.

„Nedávný útok na ukrajinskou rozvodnou síť by měl sloužit jako výzva pro všechny, kteří jsou zodpovědni za bezpečnost kritických systémů na celém světě,“ varuje Anton Cherepanov, Senior Malware Researcher ve společnosti ESET. Industroyer je schopen přímo ovládat spínače a jističe elektrické sítě.

Používá k tomu protokoly průmyslové komunikace, které jsou po celém světě běžné pro infrastruktury napájení, systémy řízení dopravy a jiné kritické infrastruktury. Potenciální dopad této hrozby se může pohybovat v rozmezí od jednoduchého vypnutí rozvodu elektrické energie přes kaskádovité poruchy až po vážnější poškození zařízení.

Malware se chová jako systém, který napadl

„Schopnost škodlivého kódu Industroyer přetrvávat v systému a přímo zasahovat do provozu průmyslového hardwaru z něj činí největší hrozbu od Stuxnetu, který v roce 2010 úspěšně napadl íránský jaderný program. Aktuálně jde o nejnebezpečnější škodlivý software zaměřený na průmyslové řídící systémy,“ konstatuje Cherepanov.

Nebezpečnost Industroyeru spočívá v tom, že používá protokoly napadených systémů tak, jak bylo navrženo, aby byly používány, takže jeho chování nelze odhalit. Problém je v tom, že tyto protokoly byly navrženy před desítkami let a v té době byly průmyslové systémy izolovány od vnějšího světa. Proto jejich tvůrci nemysleli na jejich zabezpečení. Útočníci tedy nemuseli hledat v těchto protokolech žádné bezpečnostní chyby. Vše, co potřebovali, bylo naučit malware komunikovat s těmito protokoly, vysvětluje ESET.

Industroyer je typem vysoce přizpůsobitelného malwaru. Zatímco jeho univerzální část může být použita k útoku na jakýkoli průmyslový systém řízení a využije k tomu některé z jeho komunikačních protokolů, některé části analyzovaných vzorků malwaru byly navrženy tak, aby se zaměřily na konkrétní hardware.