Industroyer ou o novo ambiente de desenvolvimento específico de malware para sistemas de controlo industrial

Já passaram 7 anos desde que o Stuxnet deu a cara, afetando gravemente os sistemas de controlo industrial. Como é conhecido, esta APT foi especificamente desenvolvida para atacar o sistema distribuído de Siemens PCS7, a série S7 de PLCs e o SCADA WinCC. Foram contabilizadas até um total de 22 fábricas e mais de 100.000 PCs infetados, embora o caso mais conhecido seja o que afetou as fábricas de enriquecimento de urânio do Irão, em particular a Central Nuclear de Bushehr e o Complexo Nuclear de Natanz.

Por outro lado, em dezembro de 2016, a infraestrutura de gestão energética na Ucrânia foi alvo de um ciberataque, deixando sem luz durante 72 minutos a quinta parte da rede elétrica deste país (afetando mais de 250.000 lares). Este ataque tem sido objeto de análise e estudo e, recentemente, a ESET descobriu e denominou que o malware que realizou este ataque se chama Industroyer (a casa Dragos denominou-o CrashOverride).

Se dermos uma vista de olhos aos vetores de ataque que o Stuxnet utilizava para afetar os sistemas de controlo industrial, podemos observar que o Industroyer utiliza meios parecidos.

• Mediante técnicas de engenharia social ou similares, é capaz de instalar um Backdoor nos sistemas de tempo real que gerem a rede de distribuição elétrica.
• O Industroyer é composto por 4 Pay-Loads que permitem aceder aos próprios “Power Circuit Breakers”, ou seja, a uns dispositivos (tipo switches) que se instalam nas redes elétricas para evitar sobrecargas. Na figura 1, extraída do documento gerado pela ESET, descrevem-se esses Pay-Loads.

• Aproveita as vulnerabilidades típicas de protocolos específicos (que não incorporam segurança) que convergem na “Smart Grid”, como são: IEC 60870-5-101, IEC 60870-5-104, IEC 61850 e OPC DA.
• A comunicação com o C&C é realizada de forma anonimizada, utilizando a rede Tor para o efeito.
• Tem capacidade para estar “desativado” durante um tempo, para que, como acontecia com o Stuxnet, se ativasse num momento determinado.
• Trata-se de um malware modular. Significa isto que estamos perante um ambiente de desenvolvimento específico de malware para sistemas de controlo industrial? Sinceramente, creio que sim. De facto, a ESET constatou que algum dos Payloads pode afetar alguns sistemas de controlo da ABB e ao dispositivo SIPROTECT da Siemens, dispositivo típico que se implementa em subestações elétricas.

Hoje é o Industroyer e amanhã será outra APT que pode afetar de forma massiva infraestruturas críticas. Se pretende saber que soluções tecnológicas pode incorporar no seu ambiente de operação para aumentar a sua ciber resiliência, recomendamos que nos acompanhe durante a Conferência Cibersegurança na Indústria 4.0 e Infraestruturas Críticas.!! Esperamos por si!!

Para mais informações sobre o Industroyer, recomendamos que leia este artigo gerado pelo fabricante ESET ou que entre em contacto connosco para podermos ajudar!