Gizemli yazılımlar, endüstriyel kontrol sistemlerini hedefliyor, ödünç alıyor Stuxnet teknikleri

Araştırmacılar, endüstriyel süreçlerden gelen gerçek okumaları gizlemek için denetleyici kontrol ve veri toplama (SCADA) sistemlerini manipüle etmek için tasarlanmış bir kötü amaçlı yazılım programı buldular.

Aynı teknik, ABD ve İsrail tarafından İran'ın nükleer programını bozmak ve ülkenin uranyum zenginleştirme santrifüjlerini çok sayıda yok etmekle yükümlü olduğu iddia edilen Stuxnet sabotaj yazılımı tarafından kullanıldı.

Yeni kötü amaçlı yazılımın ikinci yarısında keşfedildi. Geçen yıl, güvenlik firması FireEye'den araştırmacılar tarafından, aktif bir saldırıda değil, VirusTotal veritabanında. VirusTotal, kullanıcıların antivirüs motorları tarafından taranması için şüpheli dosyaları gönderebilecekleri Google’ın sahip olduğu bir web sitesidir.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

FireEye'in IRONGATE adını verdiği gizemli program, 2014 yılında çeşitli kaynaklar tarafından VirusTotal'a yüklendi, bu sırada sitenin kullandığı antivirüs ürünlerinin hiçbiri kötü amaçlı olarak algılanmadı.

Ayrıca, VirusTotal örnekleri otomatik olarak paylaşıldığı için hiçbir şirketin kötü amaçlı yazılımları 2015'in sonlarına kadar tanımladığı da şaşırtıcı değil. Projeye katılan tüm antivirüs sağlayıcıları ile birlikte.

FireEye, şirketin çeşitli saldırganların kullandığı bir teknik olan PyInstaller ile derlenen potansiyel şüpheli örnekleri aradığı için keşfetti. İki IRONGATE yükü, SCADA ve ilgili işlevsellikle ilgili referansları olduğu için göze çarpıyordu.

İyi haber, örneklerin bir kavramın kanıtı veya bazı araştırma çabalarının bir parçası gibi göründüğü. Kullanıcıların simüle edilmiş S7-300 ve S7-400 programlanabilir lojik kontrol ünitelerinde (PLC'ler) programları çalıştırmasına olanak veren bir yazılım ürünü olan Siemens SIMATIC S7-PLCSIM ile iletişim kuran özel bir DLL'yi bulmak ve değiştirmek üzere tasarlanmıştır.

PLC'ler endüstriyel süreçleri izleyen ve kontrol eden özel donanım cihazları - motorları döndürme, açma ve kapama vanaları, vb. Okumayı ve diğer verileri, mühendisler tarafından kullanılan iş istasyonları üzerinde çalışan insan-makine arayüzü (HMI) izleme yazılımına iletirler.

Stuxnet'in İran'ın Natanz nükleer santralinde yaptığı gibi, IRONGATE hedefi kendini SCADA izleme sürecine enjekte etmek ve PLC'lerden gelen verileri manipüle etmek, potansiyel olarak sabotaj saklamaktır.

Stuxnet bunu PLC operasyonunu askıya alarak bildirmiştir. santrifüj rotor hızı, aslında değilken statik ve normal sınırlar içinde kalacaktır. IRONGATE bunun yerine PLC'den geçerli verileri kaydeder ve ardından bu verileri sürekli olarak çalar - aynı video kaydını besleyen soyguncuları bir döngüde bir gözetleme kamerasına yönlendirir.

IRONGATE'in bir PLC simülatörü ile etkileşmesi ve bir Siemens'in standart ürün grubunun bir parçası değil, FireEye araştırmacılarının bu kötü amaçlı yazılımın sadece bir test olduğuna inanmasını sağladı.

Siemens Ürün Bilgisayarı Acil Durum Hazırlık Ekibi (ProductCERT), kodun standart bir Siemens'e karşı çalışmayacağını doğruladı. kontrol sistemi ortamı, "FireEye araştırmacıları, bir blog gönderisinde Perşembe günü belirtti.

Bununla birlikte, IRONGATE, 2014 yılında geliştirilen ve Stuxnet benzeri bir adam-in-the-orta saldırıyı PLC'lere karşı test etmeyi amaçlayan bir kavram kanıtıysa, Bu, yaratıcılarının gerçek endüstriyel kontrol sistemi (ICS) dağıtımlarına karşı çalışan bir başka kötü amaçlı yazılım programı oluşturduğu anlamına gelebilir. Her iki durumda da, IRONGATE'nin keşfi SCADA sistemlerini işleten kuruluşlara bir uyarı işlevi görmelidir.

"Saldırganlar Stuxnet tekniklerini öğrendi ve uyguladılar, ancak savunucular, ICS’yi hedefleyen kötü amaçlı yazılımları tespit etme yeteneğini gerçekten geliştiremediler." ICS güvenlik danışmanı Digital Bond CEO'su, bir blog yazısında söyledi. "ICS bütünlüğü saldırıları için algılama yeteneklerinde önemli ölçüde iyileştirmeye ihtiyacımız var."