Авторы отчета из компании Eset пишут, что разработчики вредоносной программы реализовали поддержку четырех промышленных протоколов, описанных в следующих стандартах:

• IEC 60870-5-101 (IEC 101)
• IEC 60870-5-104 (IEC 104)
• IEC 61850
• OLE for Process Control Data Access (OPC DA)

В дополнение к этому, авторы Industroyer разработали инструмент для выполнения DoS-атак (denial-of-service — отказ в обслуживании), нацеленных на определенные устройства релейной защиты, в частности, линейку Siemens SIPROTEC. Отмечается, что создателей Win32/Industroyer отличает высокая квалификация и глубокое понимание промышленных систем управления и протоколов связи в электроэнергетике. Вероятно, они имели доступ к оборудованию подстанций, в том числе, для тестирования своего ПО.

Мы выяснили у специалистов отрасли, действительно ли ситуация настолько серьезна, а также как повлияет появление вируса и его проникновение в технологическую сеть на работу энергосистемы.

Максим Мальцев

РусГидро

Сразу хочу отметить, что под этот вирус Siemens в начале прошлого года выпустил обновление, мы получили уведомление об этом. Касательно того, насколько угроза серьёзна — надо рассматривать пути его проникновения на объект, в технологическую сеть и устройства.

Я не склонен драматизировать ситуацию и думаю, что надо спокойно обновлять ПО и устранять проблему в порядке планового обслуживания устройств.

По моему глубокому убеждению, при наличии полноценной защиты периметра технологической системы управления (АСУ ТП), в том числе, по границе взаимодействия персонала с устройствами, вероятность проникновения невелика, соответственно и риски невелики. Уязвимостей в оборудовании может быть много, и бороться с ними практически невозможно, некоторые не будут найдены специалистами за все время эксплуатации, но вот предотвратить их использование помогает соблюдение элементарной дисциплины, технологической «гигиены».

Алексей Гуревич

СО ЕЭС

В последнее время мы все чаще сталкиваемся с информацией о выявлении вредоносных программ или о результатах деятельности таких программ, направленных на нарушение работоспособности автоматизированных систем управления (технологическими, информационными, управленческими процессами) и корпоративных информационных систем, обеспечивающих функционирование крупных государственных и частных компаний. С учетом таких мировых динамично развивающихся проектов, как «Интернет вещей», очевидно, что киберпреступность будет только расти и вовлеченность экспертов, знающих технологические процессы, также будет увеличиваться.

Вредоносное ПО Industroyer разработано профессионалами в области ИТ и защиты информации, имеющими неплохое понимание промышленных систем управления и протоколов связи в электроэнергетике.

Можно с большой долей вероятности сказать, что оно создавалось для нарушения работы конкретных автоматизированных систем (или объектов) и способно как просто отключить электротехническое оборудование, что приведет к отключению подачи электроэнергии, так и вывести его из эксплуатации путем повреждения. Ущерб от эксплуатации ПО того класса сейчас трудно оценить, но с точностью можно сказать, что оно способно привести к сбоям в работе систем управления и даже привести к серьезным финансовым и техногенным последствиям.

Что касается существующих рисков кибербезопасности сетевого комплекса, то сейчас, думаю, нам не стоит сильно беспокоится.

Но развитие электросетевого комплекса с учетом национального проекта «Цифровая подстанция» потенциально может привести к снижению уровня обеспечения безопасности объектового уровня и ЕЭС в целом, если уже сейчас не будут разработаны и приняты соответствующие механизмы в области кибербезопасности. Так в настоящее время существенным затруднением в обеспечении кибербезопасности электроэнергетического комплекса является отсутствие единой, гармонично выстроенной нормативно-технической документации в части обеспечения защищенности технологических систем и сетей, которая смогла бы четко определить действия субъектов, объектов и регуляторов ТЭК.

Лукацкий Алексей

Cisco Systems

Совсем недавно исследователи обнаружили новый вредоносный код — CrashOverride, который называют четверным в истории, созданным специально для промышленных систем (после Stuxnet, BlackEnergy и Havex). Тут надо сразу оговориться, что речь идет об известных вредоносах, которые ориентированы именно на системы промышленной автоматизации и их специфику. Когда я слышу разговоры о том, что это четвертый пример воздействия на физический мир, я не понимаю, на чем базируются авторы таких высказываний.

Раньше кибератаки также наносили ущерб физическим объектам.

Вспомним историю с закладкой в ПО, украденном советскими разведчиками в США и затем использованном на газопроводе в СССР. Был взрыв и останов работы трубопровода на определенное время. Также как и история с инсайдером на Игналинской АЭС в 1989 году.

Да, в те времена никто не собирал индикаторы компрометации и в современных базах инцидентов нет никаких значений хешей вредоносных файлов.

Но это не значит, что тех атак не было и они не повлияли (или не могли повлиять) на физический мир. Да тот же WannaCry, который является исконно офисным вирусом сумел немало навредить и промышленным объектам — заводы Renault, поликлиники, вокзал в Франкфурте, завод по производству телекоммуникационного оборудования. Примеры можно продолжать, но в любом случае они показывают, что сегодня мир виртуальный и мир физический объединены очень сильно и для воздействий на второй из них из первого не всегда требуются особые знания. Хотя появление CrashOverride показывает, что компетенции злоумышленников растут и можно спрогнозировать увеличения числа специфических для разных отраслей, систем промышленной автоматизации и промышленных протоколов вредоносных программ.

Антон Шипулин

Лаборатория Касперского

Опубликованные результаты расследования вредоносного программного обеспечения Industroyer/CRASHOVERRIDE интересны тем, что это второй публичный случай после Stuxnet, когда ВПО не просто взаимодействует с устройствами промышленной сети по промышленным протоколам (как, например, Havex, который только читал данные из OPC серверов), но и отправляет команды управления оборудованием (в данном случае изменение состояний коммутационных аппаратов), т.к. имеет модули, автоматизирующие такое взаимодействие (а именно для протоколы 101, 104, 61850/MMS, OPC DA).

Однако данный случай все же не превосходит возможности Stuxnet.

В частности, у Industroyer/ CRASHOVERRIDE пока не были обнаружены возможности распространения и заражения других хостов для поиска атакуемых промышленных устройств.

Кроме того, нет информации о способах первичного инфицирования. Известно только, что он использует не уязвимости нулевого дня, а лишь штатный функционал протоколов, которые незащищены в самой своей спецификации (insecure by design).

Масштабной эпидемии от него ожидать не стоит.

Все говорит о том, что данное вредоносное программное обеспечение доставлялось под конкретный энергетический объект (в частности, направлено на уязвимость оборудования Siemens SIPROTEC, OPC серверы компании ABB). В настоящий момент мы детально изучаем данное ВПО и его поведение и моделируем возможные последствия, а также тестируем, как его активность можно обнаружить и остановить на хостовом и на сетевом уровнях.

Хочется отметить, что в данном случае злоумышленниками было реализовано и автоматизировано в комплексном вредоносном инструменте всё то, о чем предупреждали в последнее время на международных конференциях и демонстрировали на соревнованиях (уязвимости энергетических сетевых протоколов). Наши рекомендации по предотвращению подобной угрозы включают как стратегические аспекты (встраивание механизмов защиты в обновлённые спецификации протоколов), так и операционные (проведение регулярной оценки защищенности, моделирование реальных угроз, управление коммуникациями промышленной сети с другими сетями, непрерывный мониторинг активности, происходящей на хостах промышленной сети и их сетевой активности и др.)

Владимир Назаров

Positive Technologies

Первый подробный отчет от компании ESET о вирусе Industroyer описывает множество проблем, которыми воспользовались злоумышленники, созданный ими бэкдор воспроизводит атаки и уязвимости, которые уже не новы, но до сих пор актуальны. Хотя, судя по отчету, он не предназначен для массового заражения, а был строго заточен под определённый объект, но никто не может знать, какие возможны будущие модификации или новые версии.

Ситуация серьезная, но не критичная.

Вирус действительно является очередным представителем разновидности кибероружия типа Stuxnet.

По данным анализа данного ПО, оно нацелено на определенный объект, и не предназначено для массовых атак на другие объекты. Логично предположить, что развитие приведет к его универсальности и расширению круга атакуемых объектов.

Данная атака в очередной раз продемонстрировала отсутствие приемлемого уровня безопасности на действующих объектах, и необходимость готовности к аналогичным инцидентам в будущем. Для защиты достаточно стандартных мер: например, использование антивируса с обновленными базами. Но при этом необходимо понимать, что основа реагирования на сложные атаки в сфере АСУ ТП — это большая, заблаговременно проведенная подготовительная работа. К примеру, установленная система управления инцидентами кибербезопасности АСУ ТП позволит обнаружить заражение по косвенным признакам.

Представители Россетей и ФСК не дали комментариев по данному вопросу.