Ads 468x60px

maanantai 18. tammikuuta 2016

S4 - Ukrainan sähkökatko ja Black Energy -hyökkäykset

Digital Bondin S4-konferenssissa nähtiin kaksikin esitystä Ukrainan sähkökatkoista, mikä ei varmasti yllätä ketään. Ensimmäisenä aihetta sivusi Robert M. Lee esityksessään "Using Intelligence Analysis to De-Hype ICS Attacks".

Robert M. Lee

Tarkempi analyysi on vielä julkaisematta, mutta SANS:n analyysin mukaan tiedämme, että Black Energy 3 -haittaohjelmaa käytettiin hyökkäyksen yhteydessä. Käytetty versio ei kuitenkaan ole julkisuudessa ollut Excel-tiedosto, vaan Word-dokumenttiin upotettu versio. Black Energyn lisäksi hyökkääjät käyttivät KillDisk-haittaohjelmaa, joka oli konfiguroitu juuri tähän ympäristöön. Normaalin KillDisk-toiminnallisuuden lisäksi se lopetti kaksi prosessia, komut.exe ja sec_service.exe. Näistä ainakin jälkimmäinen on yhdistetty ICS-järjestelmissä käytettäviin ohjelmistoihin. Prosessien lopetuksen lisäksi haittaohjelma ylikirjoitti suoritettavan tiedoston. Tämä ei kuitenkaan yksinään riitä aiheuttamaan sähkökatkoa. Todennäköisesti tämän osuuden tarkoituksena oli ainoastaan estää tai rajoittaa operaattoreiden näkyvyyttä sähköverkkoon.

Varsinaisen haittaohjelmia hyödyntäneen hyökkäyksen lisäksi samaan aikaan suoritettiin palvelunestohyökkäys ainakin yhden sähköyhtiön asiakaspalveluun. Tämän tarkoituksena oli vaikeuttaa sähköverkon toiminnan palauttamista. Käytännössä sähköverkkojen operoinnissa siirryttiin manuaaliseen tilaan, koska etäohjauksessa oli menetetty näkyvyys verkkoon. Ukrainassa tämä onnistui – mutta miten esimerkiksi Suomessa, jossa on todennäköisemmin vähemmän työvoimaa saatavilla vastaavassa tilanteessa?

iSIGHT Partnersin John Hultquist ja Sean McBride pitivät ainoastaan Ukrainan hyökkäykseen pureutuneen esityksen. Käytännössä esityksessä ei kuitenkaan tullut juuri uutta informaatiota. Black Energy -haittaohjelmaa ja Sandworm-tiimin taustoja käytiin hieman enemmän läpi. Molemmissa esityksissä kuitenkin painotettiin, että BE3 tai KillDisk eivät kuitenkaan aiheuttaneet varsinaista katkosta. Ilmeisesti molemmat tahot ovat päässeet analysoimaan käytetyn SCADA-järjestelmän arkkitehtuuria. Tämän perusteella voidaan todennäköisesti selvittää, kuinka varsinainen sähkökatko saatiin aikaan. Tästä saamme varmaankin lisätietoja sekä SANS:n että iSIGHT:n blogeissa.

John Hultquist ja Sean McBride
iSIGHT ei halunnut esityksessään ottaa kantaa siihen, kuka hyökkäyksen takana on – kuitenkin melkein heti seuraavassa lauseessa he totesivat Venäjän olleen kaiken takana. Ehkä kyse oli enemmän siitä, että he eivät halunneet väittää Venäjän valtion olevan hyökkäyksen takana, vaan että yleisesti toimija on Venäjää puhuva ja ajaa Venäjän etuja.


-AnttiA

Ei kommentteja:

Lähetä kommentti