Industriföretagare

Industroyer (även kallad Crashoverride ) är ett ramverk för skadlig programvara som anses ha använts i cyberattacken mot Ukrainas elnät den 17 december 2016. Attacken bröt en femtedel av Kiev , huvudstaden, av strömmen i en timme och är anses ha varit ett storskaligt test. Incidenten i Kiev var den andra cyberattacken mot Ukrainas elnät på två år. Den första attacken inträffade den 23 december 2015. Industroyer är den första kända skadliga programvaran som är speciellt utformad för att attackera elnät . Samtidigt är det den fjärde skadliga programvaran som avslöjas offentligt för att rikta in sig på industriella kontrollsystem, efter Stuxnet , Havex och BlackEnergy .

Upptäckt och namngivning

Skadlig programvara upptäcktes av det slovakiska internetsäkerhetsföretaget ESET . ESET och de flesta av cybersäkerhetsföretagen upptäcker det under namnet "Industroyer". Cybersäkerhetsföretaget Dragos döpte skadlig programvara till "Crashoverride". År 2022 inledde den ryska hackergruppen Sandworm en blackout i Ukraina med en variant av Industroyer som träffande kallades Industroyer2.

Beskrivning

Den detaljerade analysen av Industroyer avslöjade att skadlig programvara var utformad för att störa arbetsprocesserna för industriella styrsystem, särskilt de som används i elektriska transformatorstationer . Industroyer är modulär skadlig programvara; dess huvudkomponenter är följande:

• En huvudbakdörr används för att kontrollera alla andra komponenter i skadlig programvara. Den ansluter till sina fjärrstyrda kommando- och kontrollservrar för att ta emot kommandon från angriparna.
• En ytterligare bakdörr tillhandahåller en alternativ beständighetsmekanism som gör att angriparna kan återfå åtkomst till ett riktat nätverk om huvudbakdörren upptäcks och/eller inaktiveras.
• En startkomponent är en separat körbar fil som ansvarar för att starta nyttolastkomponenterna och datatorkarkomponenten. Launcher-komponenten innehåller en specifik aktiveringstid och -datum; analyserade prover innehöll två datum: 17 december 2016 och 20 december 2016. (Obs: det tidigare datumet var det datum då attacken faktiskt genomfördes.)
• Fyra nyttolastkomponenter , är inriktade på särskilda industriella kommunikationsprotokoll som specificeras i följande standarder: IEC 60870-5-101 IEC 60870-5-104 , IEC 61850 och OLE för processkontrolldataåtkomst (OPC Data Access) . Funktionaliteten hos nyttolastkomponenterna inkluderar kartläggning av nätverket och sedan utfärdande av kommandon till de specifika industriella styrenheterna.
• En datatorkarkomponent är utformad för att radera systemviktiga registernycklar och skriva över filer för att göra systemet omstartbart och återhämtning från attacken svårare.

Se även

• Kontrollsystemsäkerhet
• Cyberkrigföring
• Hacka Ukrainas elnät
• Pipedream (verktygslåda)

Vidare läsning

• ENISA "Protecting Industrial Control Systems. Rekommendationer för Europa och medlemsstaterna" . 14 december 2011.
• US DEPARTMENT OF HOMELAND SECURITY "Rekommenderad praxis: Utveckling av industriella kontrollsystem, cybersäkerhetsincidentresponskapacitet" (PDF) . 1 oktober 2009.
• Andy Greenberg (20 juni 2017). "Hur en hel nation blev Rysslands testlabb för cyberkrig" . Trådbunden.