Izsiljevalska zlobna koda pričenja napadati industrijske sisteme
Jurij Kristan
5. feb 2020 ob 22:14:26
V informacijsko-varnostnem podjetju Dragos so javno objavili podrobnosti o januarski najdbi izsiljevalskega virusa Ekans, ki zna poleg običajnega zaklepanja datotek tudi izklapljati procese nekaterih industrijskih kontrolnih sistemov. Trenutno ima precej omejene zmogljivosti, a kaže na skrb vzbujajoč trend.
Ransomware je v zadnjih letih z naskokom postal najbolj zloglasen tip zlobne kode, saj zmore z množičnim zaklepanjem datotek omrtviti vse od bolnišnic do mestnih uprav, da odkupnin niti ne omenjamo. In če gre soditi po najnovejših najdbah, bo šlo le še na slabše, kajti naslednja stopnica v razvoju izsiljevalskih virusov je očitno zmožnost napadanja podatkovnih procesov, ki nadzorujejo delovanje strojev, tako v proizvodnji kot infrastrukturi (ICS - industrial control systems). Skratka, počasi dobivamo spoj ransomwara in pa virusov, kot sta Stuxnet in Triton.
Ugledna firma za informacijsko varnost Dragos je - po tem, ko je to že prej storila za svoje stranke - javno objavila podrobnosti o najdbi izsiljevalske kode Ekans (sprva poznane tudi kot Snake, torej prebrano nazaj). Ujeli so jo v začetku januarja in je na prvi pogled razmeroma omejena sorta ransomwara, ki jo mora napadalec v omrežje namestiti ročno. Toda njena posebnost je, da pred zašifriranjem datotek tudi ubije industrijske procese, ki jih najde na svojem spisku. Ta trenutno vsebuje 64 procesov, med drugim za General Electricove in Honeywellove nadzorne sisteme. Gre za precej primitivno zmogljivost, ki ne pozna naprednejših, večstopenjskih načinov napada, zato je malo verjetno, da bi prišlo do obsežnejših izklopov ali okvar tako napadenih obratov, pomeni pa dodatno tegobo za upravljalce sistemov.
Zaradi tega Ekans najverjetneje ni namenjen povzročanju okvar, temveč ima industrijsko-napadalno komponento zgolj zaradi večanja grožnje. Toda hkrati to pomeni, da njegovi avtorji verjetno ne prihajajo iz vrst državnih hekerjev, ki so dotlej sprožali napade na ICS, temveč je posredi zgolj izsiljevanje za denar. Se pravi: zmogljivosti za napade na industrijo prehajajo v roke navadnih kriminalcev. Podjetje Otorio je sicer Ekans naprtilo Iranu, predvsem zaradi vključkov v kodi, ki ga povezujejo z decembrskim iranskim napadom Dustman na naftno podjetje v Bahrajnu. Toda v Dragosu menijo, da za takšen sklep še ni dovolj dokazov.
Dinamika nas ne sme presenetiti, saj ima nekatere takšne značilnosti že novejša inačica razvpitega izsiljevalskega virusa MegaCortex, zaradi česar v Dragosu pravijo, da je izvor primerneje iskati v tej smeri. Zaenkrat ta koda še ne zna prebijati obrambe dobro postavljenih sistemov nadzora industrijskih procesov. Toda verjetno je zgolj še vprašanje časa, preden bodo v kakšni tovarni dobili ultimat, naj nakažejo mnogo bitkojnov, ali pa bo njihov tekoči trak kaput.