Information om en ny skadlig kod som är direkt inriktad på angrepp mot ICS-miljöer, och närmare bestämt automation i elnät, har precis blivit publik. Ett slovakiskt antivirusföretag vid namn ESET har arbetat med att i detalj undersöka uppbyggnaden av den skadliga koden och har delat med sig av information till andra säkerhetsföretag som också arbetar med analys av skadlig kod. Enligt uppgift kommer ursprungskoden från angreppet mot Ukraina i december 2016. U
Robert Lipovski, en av utredarna på ESET, konstaterar i Washington Post att:
– Den potentiella skada en sådan malware kan göra är enorm.
Namnet som ESET satt på den skadliga koden är Win32/Industroyer, medan andra även kallar det CRASHOVERRIDE, ett namn som kommer från företaget Dragos utredning.
Teckna din prenumeration på Aktuell Säkerhet här
– Attackprogrammet nyttjar inte några nya sårbarheter i IT-system, varför vissa personer kanske drar felaktiga slutsatser att det här programmet inte är så intressant. Denna slutsats är olycklig och felaktig. Det intressanta här är att programmet är specialskrivet för att kunna påverka många typer av utrustningar i elnätet, bland annat för att stänga av skydd i elanläggningar eller att direkt styra elsystemskomponenter. Det är därför Lipovski slutsats är så skrämmande, säger Robert Malmgren, en av Sveriges ledande experter inom området samt en av medarrangerörerna av cybersecuritykonferensen CS3STHLM.
Det som gör Industroyer unik är dess moduluppbyggnad och mer specifikt de specifika moduler som upptäckts avsedda för att styra utrustning via standardiserade SCADA/ICS-protokoll. Förutom att kunna kommunicera via dessa protokoll, så har ESET också identifierat att Industroyer också har kod för att slå ut så kallade reläskydd. De protokoll som finns i Industroyer är sådana som används som standard inom många europeiska och svenska elbolag. Det ska särskilt noteras att Industroyer/CRASHOVERRIDE, till skillnad mot den tidigare skadliga koden Stuxnet, lätt kan användas/återanvändas i andra miljöer än den miljö i vilken den ursprungliga kopian hittades.
Utredare och säkerhetsspecialister från ESET kommer till cybersecuritykonferensen CS3STHLM i oktober och berättar om och diskuterar koden.