Si chiama Win32/Industroyer ed è stato rilevato dai ricercatori di Eset il potentissimo malware in grado di causare danni significati ai sistemi di alimentazione elettrica e che potrebbe essere adattato per colpire altri tipi di infrastrutture critiche.
Del tutto simile a Stuxnet, il malware utilizzato lo scorso dicembre a Kiev per procurare il blackout che ha lasciato migliaia di cittadini della capitale ucraina al buio, Industroyer è una minaccia particolarmente pericolosa in quanto è capace di controllare direttamente gli switch delle sottostazioni elettriche e gli interruttori dei circuiti.
Per farlo usa i protocolli di comunicazione industriale progettati decine di anni fa ed usati in tutto il mondo nelle infrastrutture di alimentazione energetica, nei sistemi di controllo dei trasporti e in altri sistemi di infrastrutture critiche, come acqua e gas.
Questi interruttori sono l’equivalente digitale di quelli analogici e tecnicamente possono essere programmati per svolgere varie funzioni. Pertanto, avvertono gli specialisti di Eset, l’impatto potenziale può variare dalla semplice interruzione nella distribuzione di energia fino a danni più gravi alle apparecchiature influendo direttamente sul funzionamento dei servizi vitali.
Industroyer è un malware modulare. Il suo componente principale è una backdoor usata dai criminali per condurre l’attacco: installa e controlla gli altri componenti e si connette a un server remoto per ricevere dei comandi e fornire rapporti ai criminali.
Quello che distingue Industroyer è l’utilizzo di quattro componenti della payload che sono stati progettati per ottenere il controllo diretto degli switch e degli interruttori di circuito di una sottostazione di distribuzione elettrica. Ognuno di questi componenti si occupa di determinati protocolli di comunicazione specificati negli standard IEC 60870-5-101, IEC 60870-5-104, IEC 61850, e OLE for Process Control Data Access (OPC DA).
Generalmente, le routine di infezione lavorano per fasi, i cui obiettivi sono la mappatura della rete, l’individuazione del bersaglio e l’invio dei comandi specifici per i dispositivi di controllo industriale da manomettere. Le payload di Industroyer dimostrano la competenza e la profonda comprensione dei sistemi di controllo industriale da parte degli autori del malware.
