Специалисты компании FireEye обнаружили новое семейство вредоносных программ, предназначенных для атаки на системы промышленной автоматизации. Они пытаются вмешаться в определённые технологические процессы, моделируемые в среде Siemens, прячут активность от оператора и стараются избежать анализа.

Во второй половине 2015 года специалисты FireEye обратили внимание на образцы вредоносного кода, собранные сервисом VirusTotal. Они обратили внимание на упоминания систем промышленной автоматизации SCADA и связанную с ними функциональность. VirusTotal получил эти образцы ещё в 2014 году, причём из различных источников, но ни один из антивирусов так и не пометил их как вредоносные.

Вредоносные программы, которые созданы специально для воздействия на промышленную автоматику, — это большая редкость. Наиболее известен червь Stuxnet; считается, что его разработали спецслужбы Израиля и США для атаки на иранское предприятие, обогащавшее уран для ядерного оружия. Судя по косвенным признакам, он справился со своей миссией. Производственная линия вышла из строя и ядерная программа Ирана застопорилась.

Новую вредоносную программу окрестили Irongate. В отличие от Stuxnet, она действует лишь в моделируемой среде Siemens PLCSIM и не подходит для атаки на реальные системы промышленной автоматизации . Специалисты Siemens подтвердили FireEye, что Irongate не эксплуатирует уязвимости в их программном обеспечении.

Во время атаки Irongate подменяет динамическую библиотеку, которая входит в состав программного пакета Siemens. Модифицированная библиотека вклинивается между промышленным контроллером и софтом для мониторинга. В течение пяти секунд она записывает сигналы, поступающие с контроллера, а затем воспроизводит их по кругу. После этого Irongate может делать всё, что угодно, и оператор ничего не заметит.

Ещё одна важная особенность Irongate заключается в том, что он отказывается работать внутри систем VMWare и Cuckoo Sandbox. Можно предположить, что таким образом его разработчики пытались помешать изучению своего детища. Это самое веское свидетельство в пользу того, что Irongate разработан с преступными целями. Честным программам прятать нечего.

Вполне возможно, что Irongate представляет собой не готовую вредоносную программу, а незаконченный прототип. Специалистам FireEye не удалось связать Irongate с известными атаками. Информации о его происхождении пока тоже нет. Кроме того, ничто не свидетельствует о преемственности со Stuxnet.



Оставить мнение