17. decembra 2016 zostali bez elektriny tisíce domácností v Kyjeve a jeho okolí. Výpadok nemala na svedomí chyba v prenosovej sieti, ale závažný a mimoriadne sofistikovaný kybernetický útok. Eset škodlivý kód analyzoval a varuje, že podobné útoky sa môžu v blízkej budúcnosti opakovať. Pozmenený malvér by vraj dokázal útočiť aj na iné typy kritickej infraštruktúry.
Bol to len začiatok. Terčom môže byť kritická infraštruktúra v celej Európe
Škodlivý kód s označením Industroyer dokáže priamo kontrolovať vypínače elektrických staníc a elektrické ističe. “Zneužíva priemyselné komunikačné protokoly, ktoré sú celosvetovo rozšírené v elektrickej infraštruktúre, dopravných kontrolných systémoch a kritickej infraštruktúre,” upresnil Anton Cherepanov z Esetu. To znamená, že v budúcnosti môžu byť terčom podobného útoku aj plynovody a vodovody po celej Európe, ktorá využíva rovnaké alebo veľmi podobné komunikačné protokoly. Ich problémom je, že boli vytvorené pred niekoľkými desaťročiami. “Vtedy mali byť priemyselné systémy izolované od vonkajšieho sveta,” dopĺňa Cherepanov. Dnes už izolované nie sú a ich zabezpečenie je preto prinajmenšom diskutabilné.
Foto: Eset
Ukrajina už kybernetickým útokom, ktoré spôsobili takzvaný blackout (z angl. výpadok elektriny) čelila niekoľkokrát. V roku 2015 sa útočníkom podarilo odstrihnúť od dodávok elektriny viac ako 250-tisíc ukrajinských domácností. Využili pri tom malvér skupiny BlackEnergy a KillDisk. Útok z roku 2016 je ale závažnejší a okrem rovnakého cieľa ho s predošlými dvoma útokmi nespája prakticky nič iné.
Malvér sa zatiaľ neprejavil naplno, no naznačil, čo možno očakávať
Horšie je, že útok zo 17. decembra 2016 bol zrejme len testom a akonáhle bude odštartovaný “naostro”, môžu byť jeho dôsledky katastrofálne. “Schopnosť Industroyera udržať sa v systéme a priamo zasahovať do chodu priemyselného hardvéru, z neho robí najväčšiu hrozbu pre priemyselné systémy od čias známeho Stuxnetu,” upresnil Cherepanov. Stuxnet sa dokázal úspešne infiltrovať a poškodiť priemyselné systémy v iránskych centrifúgach na obohacovanie uránu. Útočník v tomto prípade nebol známy, no viacero indícií poukazovalo na prepojenie so Spojenými štátmi a Izraelom.
Niektoré komponenty Industroyera boli prispôsobené konkrétnemu hardvéru, napríklad hardvéru spoločností ABB a Siemens. “Je veľmi nepravdepodobné, že by niekto dokázal napísať a otestovať takýto škodlivý kód bez prístupu k špecializovaným systémom používaným v priemyselnom prostredí,” upresnil Cherepanov. Kód navyše obsahuje aj dodatočné zadné vrátka, vďaka ktorým môžu útočníci získať opätovnú kontrolu nad systémom.