O Industroyer/Crash Override é uma das Famílias de Malware Mais Sofisticadas do ICS que Existem
Em dezembro de 2016, a rede elétrica da Ucrânia foi atingida por um ataque cibernético pela segunda vez. Poucas pessoas na capital Kiev ficaram sem eletricidade nos mortos do amargo inverno ucraniano e, embora a interrupção tenha sido menor em comparação ao que aconteceu um ano antes, o ataque mostrou que determinados hackers não terminaram de torturar cidadãos inocentes. Logo ficou claro que o malware usado durante o segundo ataque não era o mesmo de 2015. Ainda não há informações oficiais sobre o que causou a interrupção de 2016, mas os pesquisadores pensam que podem ter encontrado.
A ESET encontrou algumas amostras de uma variedade de malware bastante complexa que, eles pensam, pode ser responsável pelo apagão. Eles compartilharam as amostras com a Dragos, uma empresa especializada em segurança do Sistema de Controle Industrial (ICS). Os especialistas de Dragos estão convencidos de que esse é definitivamente o que acontece.
ESET e Dragos escolheram nomes diferentes para o malware: Industroyer e Crashoverride, respectivamente. À parte as convenções de nomenclatura confusas, as duas empresas concordam em uma coisa - o que a ESET encontrou é um kit muito poderoso desenvolvido por agentes de ameaças experientes.
Consiste em vários módulos. Como o vetor de infecção permanece desconhecido por enquanto, os especialistas poderiam fazer pouco mais do que nos dizer o que o Industroyer/Crashoverride faz quando se encontra em uma rede segmentada. Sua primeira tarefa é configurar seu backdoor principal.
Um dos recursos mais interessantes desse backdoor é a capacidade de conversar com o servidor de Comando e Controle (C&C) hospedado pelo Tor apenas fora do horário de trabalho, o que dificulta ainda mais a detecção. Com o backdoor instalado, o Industroyer/Crashoverride envia algumas informações para a C&C, incluindo o GUID do perfil de hardware da máquina host, a versão do malware, etc. Em seguida, ele começa a receber comandos do servidor.
O backdoor pode, entre outras coisas, copiar, baixar e executar arquivos, finalizar e iniciar processos e serviços e se registrar como um serviço. A função final é crucial para o próximo passo. Registrar-se como um serviço significa que o backdoor principal da Industroyer/Crashoverride é executado com privilégios elevados. Graças a esses privilégios, ele pode substituir o notepad.exe por uma versão Trojanized do aplicativo nativo do Windows. Na realidade, o Notepad falso é um backdoor adicional que usa um C&C diferente e tem praticamente a mesma funcionalidade que a principal. Seu único objetivo é atuar como um backup, caso o backdoor principal seja descoberto e desativado. A próxima etapa envolve o iniciador, o limpador e, é claro, as cargas úteis.
O iniciador cria dois threads. O primeiro é responsável por carregar as cargas úteis na memória, enquanto o segundo aguarda uma ou duas horas antes de iniciar o componente limpador.. O limpador é semelhante ao KillDisk - o malware de exclusão de dados encontrado durante a investigação do ataque de 2015.
Primeiro, modifica todas as chaves do Registro em HKLM\SYSTEM\CurrentControlSet\Services, o que torna o sistema não inicializável. Em seguida, enumera os arquivos em todos os volumes conectados ao computador, pulando apenas os do diretório do Windows. Usando uma lista de extensões, ele seleciona os arquivos que estão prestes a serem interrompidos e substitui uma parte deles com dados de lixo. Os tipos de arquivo incluem itens que você usa em seu trabalho cotidiano normal, como executáveis, arquivos e backups, além de arquivos cruciais para a funcionalidade correta de software especializado empregado por estações e subestações elétricas. Finalmente, o limpador finaliza todos os processos, exceto o seu, que trava o sistema.
Como já mencionamos, no entanto, o limpador é acionado após o carregamento das cargas úteis. Existem quatro cargas úteis: 101.dll, 104.dll, 61850.dll e OPC.exe. Os nomes não são aleatórios. 101.dll é nomeado após IEC 101, 104.dll é nomeado após IEC 104, 61850.dll é nomeado após IEC 61850 e OPC.exe é nomeado após OPC. Esses são todos os padrões e protocolos de comunicação usados pelos sistemas de controle industrial em muitas partes do mundo. Os especialistas observaram que os autores da Industroyer/Crashoverride sabiam muito bem como esses protocolos funcionam e o mais assustador é que eles não exploravam nenhuma vulnerabilidade de dia zero.
O malware usava os protocolos da mesma maneira que um endpoint de rede normal usaria e não acionava absolutamente nenhum alarme. Os próprios protocolos foram projetados décadas atrás, quando elementos da infraestrutura crucial de um país não precisavam ser conectados à Internet. O fato de a segurança não ter sido um problema tão grande na época está se tornando dolorosamente evidente agora.
Se o Industroyer/Crashoverride pode ou não ser adaptado para trabalhar com outros protocolos e possivelmente afetar outros setores, está aberto a debate. Existem algumas coisas que fizeram os pesquisadores acreditarem que o ataque a Kiev em dezembro de 2016 não passou de um teste.
Por exemplo, existe um scanner de porta personalizado que pode mapear a rede e possivelmente infectar outros alvos de interesse, mas os pesquisadores observaram que o Industroyer/Crashoverride não agia como um verme quando o examinavam, o que sugere que o scanner nunca foi usado . Além disso, de acordo com a ESET, havia outra ferramenta que explorava a vulnerabilidade CVE-2015-5374 nos dispositivos SIPROTEC da Siemens. A empresa eslovaca de antivírus disse que a ferramenta nunca foi usada enquanto Dragos não encontrou vestígios dela.
Os dois relatórios sobre Industroyer/Crashoverride são aparentemente suficientes para muitas pessoas concluirem que o malware é proveniente de atores de ameaças patrocinados pelo Estado russo. Os especialistas de Dragos realmente pensam que sabem quem é o responsável - um grupo de hackers chamado Electrum. Os debates sobre atribuição podem estar perdendo o objetivo, no entanto. E a questão é que é improvável que quem criou o Industroyer/Crashoverride pare por aqui.