Lanski električni mrk povzročil specializiran črv

V Ukrajini smo decembra 2015 videli prvi potrjen izpad električne energije zaradi računalniškega napada, ponovil pa se je tudi lanskega decembra. Sedaj je jasno, da je vsaj v lanskem primeru šlo za virus, ki ga strokovnjaki postavljajo ob bok Stuxnetu. Stuxnet je bil prvi virus, ki je povzročil dokumentirano škodo na infrastrukturi, novi virus z imenom Crash Override/Industroyer pa je drugi.

Poročilo, ki ga je objavilo podjetje Dragos, potrjuje, da gre za virus. ESET je analiziral isti virus pod imenom Industroyer. Vdor lanskega decembra je bila po mnenju podjetja zgolj generalka za večji napad, na kateri so preverjali delovanje in uspešnost virusa. Med napadom, ki je dele Kijeva za električno energijo prikrajšal zgolj za nekaj ur, sploh niso vključili vseh modulov virusa. Če bi jih bili, bi lahko bil napad še precej hujši z resnejšimi posledicami. Napad, ki se je zgodil decembra 2015, ni uporabljal tega virusa, temveč splošnejša orodja, še dodajajo.

Crash Override je napisan tako, da izkorišča iste protokole (vsaj štiri), ki jih v elektroenergetskem omrežju uporabljajo za komunikacijo med posameznimi sistemu. Zaradi dobre prilagojenosti, ki kaže, da so avtorji izvrstno poznali elektroenergetsko omrežje, je virus zlahka onesposobil razdelilne transformatorske postaje (RTP). Potem ko je poskrbel za odklep omrežij, je postaje onesposobil, tako da jih je bilo treba ročno ponovno konfigurirati. Poleg samega specializiranega virusa odkrita platforma vsebuje še splošne črve, ki so namenjeni povečanju škode in podaljšanju odzivnega časa. Ti na primer napačno prikažejo stanje prizadetih RTP ali preprečijo komunikacijo med njimi.

Kdo je virus spisal, še ni jasno. Za zdaj kaže, da so avtorji povezani s skupino Sandworm, ki je verjetno ruska. Leta 2014 je Sandworm napadal NATO, ukrajinske in poljske vladne službe in različna evropska podjetja.