Beveiligingsbedrijf ESET heeft een nieuw soort ics-malware ontdekt, die het zelf Industroyer noemt. De malware richt zich specifiek op substations van hoogspanningsnetwerken en is in staat om de controlesystemen over te nemen en gegevens te wissen.
Volgens ESET, dat een whitepaper over de malware heeft gepubliceerd, is de malware in staat zich aan verschillende doelwitten en omgevingen aan te passen. Hoewel het onderzoek naar de internetaanval op het energienetwerk in Oekraïne, die in december vorig jaar plaatsvond, nog niet volledig is afgerond, zegt het bedrijf dat deze waarschijnlijk met Industroyer is uitgevoerd. Dat leidt het bedrijf onder meer af uit de gebruikte technieken en een activation timestamp, die is vastgelegd op de dag van de aanval.
ESET gaat ervan uit dat de makers van de malware 'diepgaande kennis hebben van industriële controlesystemen en vooral van de protocollen van stroomsystemen'. Dergelijke kennis zou niet mogelijk zijn zonder directe toegang tot de apparatuur waarvoor de malware is bedoeld. De makers maken gebruik van verschillende protocollen uit vier standaarden, waaronder IEC 60870-5-101. Daaruit zou dan ook het gevaar van de malware voortkomen, doordat deze in staat is om direct switches en stroomonderbrekers aan te sturen. De gebruikte protocollen zijn volgens ESET tientallen jaren geleden ontwikkeld, zonder aandacht voor beveiliging.
De Industroyer-malware valt uiteen in verschillende onderdelen. Zo is er een hoofdcomponent aanwezig in de vorm van een backdoor, die alle andere modules aanstuurt. De component maakt verbinding met een c2-server op het Tor-netwerk via https en kan op die manier commando's van de aanvallers ontvangen. De backdoor heeft een functie om in te stellen dat hij alleen op bepaalde uren van de dag functioneert, mogelijk om detectie te voorkomen. De backdoor heeft verschillende functies, zoals het uitvoeren van processen, het downloaden van bestanden en het uitvoeren van een shellcommando.
Voor het geval dat de eerste backdoor wordt ontdekt, is er een tweede backdoor beschikbaar in de vorm van een kwaadaardige versie van Notepad. Een ander onderdeel is de launcher, die verschillende payloads kan uitvoeren en ervoor kan zorgen dat bestanden worden gewist door het begin van een bestand te overschrijven. Verder zijn een port scanner en een dos-tool aanwezig. Die laatste heeft tot doel een Siemens Siprotec-apparaat uit te schakelen.
Volgens ESET heeft de kwaadaardige software geen overeenkomsten met de BlackEnergy-malware, die werd gebruikt bij een aanval op het Oekraïense energienet in december 2015, een jaar voor de aanval met Industroyer.