По свидетельству FireEye, вредоносное ПО Irongate, ориентированное на промышленные системы управления, по некоторым свойствам весьма схоже с грозным червем Stuxnet. Новая находка — это еще один тревожный звонок для ИБ-сообщества, подтверждающий настоятельную необходимость совершенствования систем детектирования зловредов, атакующих критическую инфраструктуру.

В то же время исследователи отметили, что в настоящее время Irongate не представляет серьезной угрозы, так как он работает лишь в имитационных средах. Тем не менее, по данным FireEye, данный зловред годами оставался незамеченным, хотя все это время числился в базе VirusTotal.

«Отраслевая компетенция в отношении познания и детектирования угроз растет, но пока еще неудовлетворительна, как показывают подобные примеры, — констатирует Роб Колдуэлл (Rob Caldwell), руководитель аналитической группы FireEye Labs Advanced Reverse Engineering (FLARE). — Необходимо яснее понимать, что собой представляют угрозы для промышленных систем управления и как их детектировать, чтобы повысить обороноспособность».

Согласно FireEye, идентифицированного ею зловреда отличает способность перехватывать вход и выход процессов из MitM‑позиции, а также атаковать ПО, выполняющее операции над процессами в имитационных средах. Система, скомпрометированная Irongate, позволяет атакующим подменять управляющие воздействия без ведома оператора системы. Аналогичные техники ранее использовались для вывода из строя разных критических объектов, от энергосетей до логических контроллеров центрифуг, используемых в атомной отрасли.

Исследователи обнаружили образец Irongate в конце 2015 года на VirusTotal, куда заглянули в поисках дропперов, скомпилированных с помощью PyInstaller. Найденный сэмпл сильно походил на зловредов для АСУ ТП и других промышленных систем управления. Как оказалось, данный образец был загружен на проверку еще в 2012 году, и ни один антивирус его так и не опознал.

Анализ показал, что зловред использует MitM-технику, приспособленную для атак на кастомное приложение пользователя, работающее в среде моделирования программируемых логических контроллеров Step 7 производства Siemens. Эксперты также обнаружили динамическую библиотеку, способную маскировать вредоносное поведение исполняемого кода. Эта DLL умеет записывать пять секунд «нормального» трафика, исходящего от смоделированного ПЛК; этот фрагмент трафика атакующий может воспроизвести вновь, чтобы скрыть факт передачи на имитируемое оборудование данных, жестко прописанных в коде.

К удивлению исследователей, оказалось, что, препятствуя анализу, специализированный зловред ведет себя так же, как обычное вредоносное ПО: при запуске на виртуальной машине или в песочнице (Cuckoo) он переходил в спящий режим, отказываясь от исполнения.

«Хотя Stuxnet на порядок сложнее технически, Irongate имеет некоторые похожие черты», — заявил Шон МакБрайд (Sean McBride), старший вирусный аналитик в FireEye. В частности, он отметил, что оба этих зловреда предназначены для атак на конкретную систему управления, а также используют средства защиты от обнаружения: Stuxnet способен отслеживать наличие антивируса, Irongate — виртуальной машины. Тем не менее, в отличие от своих немногочисленных собратьев — BlackEnergy, Havex, того же Stuxnet, Irongate слабо применим на практике: он способен работать лишь в имитационных средах, ориентированных на продукцию Siemens.

Так кто же создал этого зловреда и с какой целью? У FireEye есть на этот счет три гипотезы. Во-первых, полагают эксперты, его автор мог питать надежду, что кто-нибудь портирует этот код из имитационной среды и начнет использовать его в рабочем окружении. Возможно также, что Irongate — опытный образец и перед запуском в обращение вирусописатель, решив проверить его детектируемость, воспользовался услугами VirusTotal. Третье предположение в FireEye считают наиболее верным: какой-то специалист по ИБ просто забыл, что когда-то подавал этот код на проверку.

«Следует прилагать больше усилий в масштабе отрасли для обнаружения угроз, ориентированных на системы управления производством, — заключил Дэн Скали (Dan Scali), старший референт консультационного подразделения FireEye по вопросам безопасности АСУ ТП. — В целом большого прогресса в решении проблем, высвеченных Irongate, со времен Stuxnet не наблюдается. Ввиду роста доступности таких атак большую озабоченность вызывает вопрос адекватности мер защиты».

Категории: Аналитика, Вредоносные программы, Главное