Компания, обезпечаваща сигурността на критични инфраструктури се натъкна на рансъмер, който атакува индустриални системи за контрол (ICS, industrial control systems). Това, пишат от Dragos, представлява първата по рода си заплаха от този тип.

Зловредният код, насочен към бизнеси и потребители може да има унищожителен ефект върху благосъстоянието и личния живот на жертвите му. Но той не нанася преки физически щети над потърпевшите. Кошмарът на много специалисти по сигурност в последните години са компютърните атаки към критична инфраструктура. С оглед на това, че много от системите, които днес ги обслужват са свързани с Интернет, тези страхове са напълно оправдани. Освен това, често тези системи биват обслужвани от морално остарял софтуер и програмно обезпечение, което улеснява евентуалните атаки. За радост, сериозни инциденти тук, довели до физически разрушения и смърт не сме чували.

В края на миналата година, Dragos се натъкват на рядка форма на криптовирус, атакувала системите на техен клиент. Името му е EKANS, а вградените му функционалности притесняват компанията.

„Макар и относително обикновен в качеството си на рансъмуер проба, EKANS включва допълнителна функционалност да спира принудително набор от процеси, в това число множество обекти, свързани с ICS операции“, пишат Dragos. „Въпреки че всички индикации към момента да сочат относително примитивен механизъм за атака към мрежите на контролни системи, спецификата на процесите, посочени в статичния списък със задачи за спиране демонстрира определено ниво на преднамереност, което липсва в рансъмуера, атакуващ индустриалното пространство“. Сходен с друг рансъмуер, атакувал индустриални среди – MEGACORTEX – EKANS се явява уникален с това, че е първия криптовирус с вградени ICS-специфични цели, допълват специалистите.

EKANS представлява написана на програмния език Go заплаха, отличаваща се с високо ниво на обфускация, засечена за пръв път през декември миналата година. Анализ на заплахата помага на Dragos да разкрие метода му на работа. При стартирането си, той проверява дали атакуваната система вече не е била станала жертва на EKANS. Ако е така, той преустановява действията си. В случаите на „чиста“ система, той започва своите действия, изпращайки заявки към Windows Management Interface (WMI) и изтрива наличните Volume Shadow Copy архиви с цел невъзможност за възстановяване на криптираната информация. Преди да започне същинската си дейност обаче, EKANS спира процеси, които са изброени в списък, вграден в кода му. Докато някои от тях са стандартни за подобен род заплахи – като програми за защита и управление, повечето от тях са насочени към бази данни (Microsoft SQL Server), решения за бекъп и споменатите ICS процеси. Самата заплаха няма за задача да манипулира индустриални процеси и извършва саботажни действия, но както подчертават авторите на доклада, спирането на някои от процесите може да доведе до невъзможност за осъществяването на мониторинг и наблюдение в мрежата. При криптирането на файловете към края на техните имена бива прикачено разширение, съставено от пет символа – в горен и долен регистър – в произволен ред. Следва и представяне на бележката с искане за откуп. EKANS не разполага с механизми за автоматично разпространение в мрежовия периметър в замяна на масово поразяване на мрежата. Допълнителното му разпространение към периферията се осъществява по други начини – посредством скрипт, компрометиране на Active Directory или друг начин.

Въпреки някои медийни публикации, свързващи тези атаки с Иран, от Dragos не смятат, че случаят е такъв. Според тях, атакуващата страна са не ведомствени хакери към някоя държава, а групировка, търсеща финансова облага.

ДОБАВИ КОМЕНТАР

  Абонирай се  
Извести ме за