Κακόβουλο λογισμικό σχεδιάστηκε να προκαλεί μπλακάουτ

Δύο εταιρείες κυβερνοασφάλειας προειδοποιούν ότι ανακάλυψαν κακόβουλο κώδικα που σχεδιάστηκε για επιθέσεις σε βιομηχανικά συστήματα και μπορεί να προκαλέσει διακοπές ηλεκτροδότησης, όπως συνέβη στην κυβερνοεπίθεση του 2016 που προκάλεσε μπλακάουτ στην Ουκρανία.

Ο ιός, με την ονομασία Industroyer, ήταν προγραμματισμένος να ενεργοποιηθεί στις 17 Δεκεμβρίου 2016, και είναι «πολύ πιθανό» ότι προκάλεσε το μπλακάουτ εκείνης της ημέρας στην Ουκρανία, αναφέρει σε έκθεσή της η σλοβακική εταιρεία ESET.

Οι ουκρανικές αρχές είχαν κατηγορήσει τη Ρωσία για την κυβερνοεπίθεση. Η Μόσχα αρνήθηκε ότι είχε ανάμειξη.

Προειδοποίηση προς κυβερνήσεις και εταιρείες ηλεκτροδότησης για το Industroyer εξέδωσε και η Dragos, εταιρεία που ειδικεύεται στην ηλεκτρονική ασφάλεια κρίσιμων υποδομών.

Το κακόβουλο λογισμικό μπορεί να προκαλέσει διακοπές στο δίκτυο σε όλη την Ευρώπη, και με μικρές αλλαγές και στις ΗΠΑ, ανέφερε στο Reuters ο ιδρυτής της εταιρείας Ρόμπερτ Λι, πρώην αξιωματούχος της αμερικανικής αεροπορίας. Δεν φαίνεται ικανό να ρίξει ολόκληρα εθνικά δίκτυα, μπορεί όπως να προκαλέσει τοπικά μπλακάουτ διάρκειας ημερών.

Η μόλυνση από τον ιό μπορεί να γίνει αντιληπτή από αλλαγές στην κίνηση των εταιρικών δικτύων, όπως ενδείξεις ότι ο κακόβουλος κώδικας αναζητεί την τοποθεσία υποσταθμών ή δίνει εντολή για το κλείσιμο διακοπτών παροχής ρεύματος.

Το Industroyer είναι το δεύτερο γνωστό κακόβουλο λογισμικό που έχει σχεδιαστεί ειδικά για επιθέσεις σε βιομηχανικά συστήματα. Το πρώτο ήταν το Stuxnet, το οποίο πιστεύεται ευρέως ότι αναπτύχθηκε από τις ΗΠΑ και το Ισραήλ για να σαμποτάρουν τις πυρηνικές εγκαταστάσεις του Ιράν.

Πηγή

Advertisements

Στα έγγραφα της NSA το «κατασκοπευτικό» λογισμικό Regin

Το κατασκοπευτικό λογισμικό Regin, το οποίο βρίσκεται σε λειτουργία από το 2008, συνδέεται με τις αμερικανικές και βρετανικές υπηρεσίες Πληροφοριών, αποκαλύπτει η ιστοσελίδα The Intercept.

Ο αμερικανικός όμιλος Πληροφορικής Symantec ανακοίνωσε την Κυριακή ότι ανακάλυψε ένα λογισμικό, από την τεχνική πολυπλοκότητα του οποίου συνάγεται ότι η δημιουργία του έγινε τουλάχιστον υπό την εποπτεία των υπηρεσιών Πληροφοριών ενός κράτους.

Σύμφωνα με το The Intercept , αυτό το λογισμικό φαίνεται ότι συνδέεται με τις υπηρεσίες Πληροφοριών των ΗΠΑ και της Βρετανίας και χρησιμοποιήθηκε σε κυβερνοεπιθέσεις εναντίον δικτύων ευρωπαϊκών κυβερνήσεων και εναντίον βελγικού τηλεπικοινωνικού δικτύου.

Επικαλούμενη πηγές του τομέα της Πληροφορικής και τεχνική ανάλυση του λογισμικού, η ιστοσελίδα The Intercept αναφέρει ότι ο ιός Regin αναφέρεται στα έγγραφα της Υπηρεσίας Εθνικής Ασφαλείας των ΗΠΑ (NSA) τα οποία δημοσιεύθηκαν από τον Εντουαρντ Σνόουντεν και αποκάλυψαν το εύρος των προγραμμάτων παρακολούθησης των ΗΠΑ.

Οταν ερωτήθηκε για τις πληροφορίες αυτές, εκπρόσωπος της NSA απάντησε: «Δεν πρόκειται να σχολιάσουμε φήμες».

«Οι ομάδες της Symantec ανίχνευσαν παραβιάσεις δικτύων σε δέκα χώρες, πρώτα στη Ρωσία, στη συνέχεια, στη Σαουδική Αραβία, δύο χώρες στις οποίες συγκεντρώνεται το εν τέταρτον των κυβερνοεπιθέσεων», σύμφωνα με τον Κάντιντ Γουίστ, αναλυτή της Symantec.

Οι υπόλοιπες χώρες που έχουν δεχθεί επιθέσεις κατά σειρά σοβαρότητας είναι το Μεξικό, η Ιρλανδία, η Ινδία, το Αφγανιστάν, το Ιράν, το Βέλγιο, η Αυστρία και το Πακιστάν.
Αντίθετα με το λογισμικό Stuxnet, το οποίο επιτέθηκε στις συσκευές φυγοκέντρισης του συστήματος εμπλουτισμού ουρανίου στο Ιράν, στόχος του Regin είναι η συγκέντρωση δεδομένων και όχι το σαμποτάζ κάποιου συστήματος ελέγχου βιομηχανικής
μονάδας.

Η πολυπλοκότητά του παραπέμπει σε μία πολύμηνη, έως και πολυετή, φάση δημιουργίας που απαίτησε σημαντική χρηματοδότηση.

«Ο χρόνος και οι πόροι που χρησιμοποιήθηκαν δείχνουν ότι ένα κράτος είναι υπεύθυνο», βεβαιώνει ο Κάντιντ Γουίστ.

Οι δημιουργοί του κατέβαλαν σημαντικές προσπάθειες για να καταστήσουν όσο το δυνατόν πιο διακριτική την παρουσία του ιού, επιτρέποντας έτσι τη χρησιμοποίησή του σε κατασκοπευτικές δραστηριότητες μακράς διάρκειας.

Ο ιός Regin εντοπίσθηκε για πρώτη φορά τον περασμένο χρόνο από την Symantec. Αρχικά, είχε χρησιμοποιηθεί κατά το διάστημα ανάμεσα στο 2008 και το 2011, οπότε αποσύρθηκε αιφνιδιαστικά. Μία νέα εκδοχή του επανεμφανίσθηκε το 2013 , η οποία συνεχίζει να είναι ενεργή σήμερα.

Πηγή

Τα 5 πρώτα «θύματα» του Stuxnet για το σαμποτάζ του ιρανικού πυρηνικού προγράμματος

Πάνω από τέσσερα χρόνια έχουν περάσει από την ανακάλυψη του worm Stuxnet, ενός από τα πιο εξελιγμένα και επικίνδυνα κακόβουλα προγράμματα, που θεωρείται ότι ήταν και το πρώτο ψηφιακό όπλο. Ωστόσο, υπάρχουν ακόμη αρκετά μυστήρια γύρω από αυτήν την ιστορία. Ένα σημαντικό ερώτημα είναι ποιοι ήταν ακριβώς οι στόχοι της συνολικής δράσης του Stuxnet. Πλέον, έπειτα από την ανάλυση περισσότερων από 2.000 αρχείων του Stuxnet, τα οποία συγκεντρώθηκαν μέσα σε περίοδο δύο ετών, οι ερευνητές της Kaspersky Lab μπορούν να προσδιορίσουν τα πρώτα θύματα του worm.

Αρχικά, οι ερευνητές δεν είχαν καμία αμφιβολία ότι στο σύνολό της, η επίθεση ήταν στοχευμένη. Ο κώδικας του worm Stuxnet έμοιαζε επαγγελματικός και αποκλειστικός. Υπήρχαν αποδεικτικά στοιχεία ότι είχαν χρησιμοποιηθεί εξαιρετικά ακριβές ευπάθειες zero-day. Παρόλα αυτά, δεν ήταν ακόμη γνωστό τι είδους οργανισμοί είχαν δεχτεί αρχικά επιθέσεις και με ποιο τρόπο το κακόβουλο λογισμικό τελικά κατάφερε να πραγματοποιήσει το στόχο του, καταλήγοντας στις συσκευές φυγοκέντρησης για τον εμπλουτισμό ουρανίου σε συγκεκριμένες, απόρρητες εγκαταστάσεις.

Η νέα ανάλυση ρίχνει φως στα παραπάνω ερωτήματα. Οι πέντε οργανισμοί που δέχτηκαν αρχικά επίθεση δραστηριοποιούνται στον τομέα των βιομηχανικών συστημάτων ελέγχου (ICS) στο Ιράν, είτε κατασκευάζοντας τέτοια συστήματα είτε προμηθεύοντας υλικά και εξαρτήματα για την ανάπτυξή τους. Ο πέμπτος οργανισμός που δέχτηκε επίθεση έχει και το μεγαλύτερο ενδιαφέρον, επειδή παράγει – πέρα από προϊόντα βιομηχανικών αυτοματισμών – συσκευές φυγοκέντρησης για τον εμπλουτισμό ουρανίου. Ο εξοπλισμός αυτού του είδους θεωρείται ότι ο κύριος στόχος του Stuxnet.

Προφανώς, οι επιτιθέμενοι περίμεναν ότι οι οργανισμοί αυτοί θα ανταλλάσσουν δεδομένα με τους πελάτες τους, όπως οι μονάδες εμπλουτισμού ουράνιου, γεγονός που θα τους επέτρεπε στο κακόβουλο λογισμικό να εισέλθει στις εγκαταστάσεις-στόχους. Το αποτέλεσμα δείχνει ότι το σχέδιό τους ήταν πράγματι επιτυχημένο.

«Η ανάλυση των επαγγελματικών δραστηριοτήτων των πρώτων οργανισμών που έπεσαν θύματα του Stuxnet μας επιτρέπει να κατανοήσουμε καλύτερα τον τρόπο που είχε σχεδιαστεί η εκστρατεία στο σύνολο της. Πρόκειται για ένα παράδειγμα ενός φορέα επίθεσης ενάντια σε μια εφοδιαστική αλυσίδα, όπου το κακόβουλο λογισμικό μεταδίδεται στους οργανισμούς-στόχους έμμεσα, μέσα από τα δίκτυα των συνεργατών του οργανισμού», δήλωσε ο Alexander Gostev, Chief Security Expert στην Kaspersky Lab.

Οι ειδικοί της Kaspersky Lab έκαναν, όμως, και μία ακόμα ενδιαφέρουσα ανακάλυψη. Το Stuxnet δεν μεταδόθηκε μόνο μέσα από «μολυσμένα» USB sticks που συνδέονταν σε PC. Αυτή ήταν η αρχική θεωρία και εξηγούσε τον τρόπο με τον οποίο το malware μπορούσε να εισχωρήσει κρυφά σε μία θέση χωρίς άμεση σύνδεση στο Internet. Ωστόσο, τα δεδομένα που συγκεντρώθηκαν κατά τη διάρκεια της ανάλυσης της πρώτης επίθεσης έδειξαν ότι το δείγμα του πρώτου worm (Stuxnet.a) είχε δημιουργηθεί μόλις λίγες ώρες πριν εμφανιστεί σ’ ένα PC στον πρώτο οργανισμό που δέχτηκε επίθεση. Με δεδομένο αυτό το αυστηρό χρονοδιάγραμμα, είναι δύσκολο να φανταστούμε ότι κάποιος επιτιθέμενος συνέθεσε το δείγμα, το έβαλε σε ένα USB stick και το μετέφερε στο στοχοποιημένο οργανισμό μέσα σε λίγες ώρες. Είναι λογικό να υποθέσουμε ότι σε αυτή την περίπτωση, αυτοί που ήταν πίσω από το Stuxnet χρησιμοποίησαν διαφορετικές τεχνικές, πέρα από τη μόλυνση μέσα από USB.

Οι τελευταίες τεχνικές πληροφορίες σχετικά με κάποιους παράγοντες της επίθεσης του Stuxnet είναι διαθέσιμες στο Securelist, καθώς και στο νέο βιβλίο, “Countdown to Zero Day”, της δημοσιογράφου Kim Zetter. Το βιβλίο περιλαμβάνει άγνωστες μέχρι σήμερα πληροφορίες σχετικά με το Stuxnet. Ορισμένες από αυτές τις πληροφορίες βασίζονται σε συνεντεύξεις με μέλη της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab.

Πηγή

Symantec: Και η Ελλάδα στο «στόχαστρο» των χάκερ-σαμποτέρ Dragonfly

symantec-logo

Μία ομάδα χάκερ-σαμποτέρ, έχει «βάλει στο μάτι» εκατοντάδες δυτικές ενεργειακές εταιρείες, κυρίως πετρελαίου και φυσικού αερίου, κατά πάσα πιθανότητα κάνοντας βιομηχανική κατασκοπεία, σύμφωνα με την αμερικανική εταιρεία κυβερνο-ασφάλειας Symantec. Η Ελλάδα είναι ανάμεσα στις δέκα κυριότερες χώρες με ενεργές «μολύνσεις», όπου οι επιτιθέμενοι υπέκλεψαν πληροφορίες από παραβιασμένα συστήματα, χωρίς να είναι σαφές ποιοί ακριβώς ήσαν οι στόχοι των χάκερ.

Οι χώρες που έχουν πληγεί περισσότερο, είναι οι εξής: Ισπανία (27%), ΗΠΑ (24%), Γαλλία (9%), Ιταλία (8%), Γερμανία (7%), Τουρκία (6%), Ρουμανία, Πολωνία και Ελλάδα (από 5%) και Σερβία (4%).

Η έκθεση αναφέρει πως «είναι πιθανό οι επιτιθέμενοι να έχουν βάση την Ανατολική Ευρώπη», ενώ σύμφωνα με τους «Τάιμς της Νέας Υόρκης», η ομάδα Dragonfly (Λιβελούλη) είναι ρωσικής προέλευσης, κάτι που σχετίζεται με το μεγάλο ειδικό βάρος της ρωσικής ενεργειακής βιομηχανίας. Μεταξύ των στόχων ήσαν πάροχοι υπηρεσιών ενέργειας, μεγάλες εταιρίες παραγωγής ηλεκτρικού ρεύματος, εταιρείες δικτύων παροχής πετρελαίου και πάροχοι βιομηχανικού εξοπλισμού ενέργειας.

Εκτός όμως από τη βιομηχανική κατασκοπεία, φαίνεται πως ο τρόπος που δρουν οι χάκερ, τους δίνει επίσης την πρόσθετη δυνατότητα να αποκτούν εξ αποστάσεως τον έλεγχο των συστημάτων ελέγχου των ενεργειακών βιομηχανιών και άρα να κάνουν σαμποτάζ, με τρόπο παρόμοιο με αυτό που χρησιμοποίησαν το Ισραήλ και οι ΗΠΑ, όταν επιτέθηκαν με τον ιό Stuxnet στις πυρηνικές εγκαταστάσεις του Ιράν το 2009, καταστρέφοντας το ένα πέμπτο από τα αποθέματα ουρανίου της χώρας.

Οι νέες επιθέσεις καταγράφηκαν για πρώτη φορά από την αμερικανική εταιρεία κυβερνο-ασφάλειας CrowdStrike το καλοκαίρι του 2012 και έκτοτε εκτιμάται, ότι έχουν πλήξει πάνω από 1.000 στόχους σε τουλάχιστον 84 χώρες. Η ομάδα των χάκερ αρχικά στόχευσε εταιρείες άμυνας και αεροπορίας στις ΗΠΑ και τον Καναδά, πριν στρέψει το ενδιαφέρον της σε εταιρείες ενέργειας στις ΗΠΑ και την Ευρώπη στις αρχές του 2013.

H νέα έκθεση της Symantec, που ‘βάφτισε’ τους χάκερ Dragonfly (προηγουμένως είχαν την ονομασία Energetic Bear), δείχνει πλέον το μέγεθος της απειλής, καθώς, σύμφωνα με τα νέα στοιχεία, η εν λόγω ομάδα έχει γίνει πολύ πιο επιθετική και ικανή στις επιθέσεις της.

Ένα από τα «κόλπα» των χάκερ είναι, ότι δεν επιτίθενται απευθείας στα συστήματα της επιχείρησης-στόχου, αλλά «μολύνουν» με το κατάλληλο λογισμικό, ορισμένες ιστοσελίδες που οι εργαζόμενοι στον ενεργειακό τομέα επισκέπτονται συχνά, όταν θέλουν να ανανεώσουν το λογισμικό τους για τον εξοπλισμό των συστημάτων βιομηχανικού ελέγχου (ICS). Με αυτό τον τρόπο, παγιδεύουν τους ανύποπτους εργαζόμενους, οι οποίοι στη συνέχεια «κατεβάζουν» στους υπολογιστές των εταιριών τους το κακόβουλο λογισμικό (τύπου Trojan), το οποίο έτσι διεισδύει στο δίκτυο της εταιρείας-στόχου.

Πάντως, ο εκπρόσωπος της Symantec, Κέβιν Χέιλι, δήλωσε ότι, προς το παρόν τουλάχιστον, δεν υπάρχουν ενδείξεις, ότι οι χάκερ σκοπεύουν να προχωρήσουν σε σκόπιμη πρόκληση ζημιών, όπως στην ανατίναξη κάποιας μονάδας γεώτρησης ή ηλεκτροπαραγωγής. Φαίνεται, όπως είπε, ότι το κατ’ αρχήν κίνητρό τους, είναι να μάθουν περισσότερα πράγματα για τις λειτουργίες, τα στρατηγικά σχέδια και την τεχνολογία των δυτικών ενεργειακών εταιρειών. «Όμως η δυνατότητα για σαμποτάζ υπάρχει πάντα», πρόσθεσε.

Η έκθεση της Symantec, που κάνει λόγο για «συνεχόμενη επίθεση κυβερνοκατασκοπείας», επισημαίνει, ότι οι επιτιθέμενοι «αν είχαν χρησιμοποιήσει τις δυνατότητες σαμποτάζ που είχαν στη διάθεσή τους, θα μπορούσαν να έχουν προκαλέσει ζημιές και προβλήματα στην παροχή ενέργειας στις προσβαλλόμενες χώρες».

Αναφέρει ακόμη πως «ενώ ο Stuxnet στοχοποίησε τα στενά όρια του Ιρανικού πυρηνικού προγράμματος και το σαμποτάζ ήταν ο κύριος σκοπός του, το Dragonfly φαίνεται να έχει πολύ πιο ευρύ φάσμα, με την κατασκοπεία και την επίμονη πρόσβαση να είναι ο πρωταρχικός σκοπός, και το σαμποτάζ να είναι απλά μια προαιρετική δυνατότητα, εφόσον ζητηθεί».

Πριν από τη δημοσιοποίηση του θέματος, η Symantec ειδοποίησε τα προσβαλλόμενα θύματα και τις σχετικές εθνικές αρχές, που χειρίζονται και ανταποκρίνονται σε περιστατικά ασφάλειας του διαδικτύου.

Πηγή

O Stuxnet αναγνωρίστηκε ως το πρώτο αληθινό όπλο κυβερνοπολέμου

Σύμφωνα με μελέτη, οι δημιουργοί του Stuxnet αναγνώριζαν ότι είχαν κατασκευάσει το πρώτο αληθινό όπλο στον κυβερνοχώρο και ενδιαφέρονταν περισσότερο να διαδώσουν αυτό το νέο είδος ψηφιακού πολέμου παρά να προκαλέσουν επιθέσεις μεγάλης κλίμακας στις πυρηνικές εγκαταστάσεις του Ιράν. Σε μια ανάλυση που κυκλοφόρησε την περασμένη εβδομάδα, ο Ralph Langner, επικεφαλής της ομάδας The Langner Group και ένας φημισμένος ειδικός σε βιομηχανικά συστήματα ελέγχου (ICS), αντέκρουσε τα επιχειρήματα ότι μόνο ένα έθνος-κράτος είχε τους πόρους για να ξεκινήσει μια επίθεση τύπου Stuxnet. Δράστες με λιγότερες φιλοδοξίες θα μπορούσαν να μάθουν και να εφαρμόσουν αυτήν την πολιτική σε υποδομές ζωτικής σημασίας. «Ενώ ο Stuxnet ήταν σαφώς το έργο ενός κράτους, καθώς απαιτεί τεράστιους πόρους και δεξιότητες, οι μελλοντικές επιθέσεις σε βιομηχανικά και άλλα συστήματα μπορεί και να μην είναι» δήλωσε ο Langner σε ένα άρθρο που έγραψε για τη μελέτη του στο περιοδικό Foreign Policy.

Ο πασίγνωστος ιός Stuxnet έχει μολύνει ρωσικό πυρηνικό εργοστάσιο, υποστηρίζει ο Eugene Kaspersky

Το περιβόητο malware Stuxnet που πιστεύεται ευρέως ότι έχει αναπτυχθεί από τις ΗΠΑ και το Ισραήλ με στόχο τα πυρηνικά εργοστάσια του Ιράν, κατάφερε να μολύνει “άσχημα” το εσωτερικό δίκτυο ρωσικού πυρηνικού σταθμού.

Ο Eugene Kaspersky, ιδρυτής της ρωσικής εταιρείας Kaspersky antivirus, δήλωσε ότι ένας φίλος του που εργάζονται σε ανώνυμο πυρηνικό εργοστάσιο, του είπε ότι το δίκτυο των εγκαταστάσεών τους είχε αποσυνδεθεί από το διαδίκτυο, καθώς είχε μολυνθεί από τον Stuxnet.

“Όλα τα δεδομένα κλάπηκαν” δήλωσε ο Kaspersky. “Τουλάχιστον δύο φορές.”

Αυτή είναι η πρώτη φορά που ο Stuxnet μολύνει το μεγαλύτερο πυρηνικό εργοστάσιο έξω από το επιδιωκόμενο στόχο του στο Ιράν.

Πηγή