Специалисты компании FireEye обнаружили новое семейство вредоносных программ, предназначенных для атаки на системы промышленной автоматизации. Они пытаются вмешаться в определённые технологические процессы, моделируемые в среде Siemens, прячут активность от оператора и стараются избежать анализа. Во второй половине 2015 года специалисты FireEye обратили внимание на образцы вредоносного кода, собранные сервисом VirusTotal.
Они обратили внимание на упоминания систем промышленной автоматизации SCADA и связанную с ними функциональность. VirusTotal получил эти образцы ещё в 2014 году, причём из различных источников, но ни один из антивирусов так и не пометил их как вредоносные. Вредоносные программы, которые созданы специально для воздействия на промышленную автоматику, — это большая редкость.
Наиболее известен червь Stuxnet; считается, что его разработали спецслужбы Израиля и США для атаки на иранское предприятие, обогащавшее уран для ядерного оружия. Судя по косвенным признакам, он справился со своей миссией. Производственная линия вышла из строя и ядерная программа Ирана застопорилась. Новую вредоносную программу окрестили Irongate.
В отличие от Stuxnet, она действует лишь в моделируемой среде Siemens PLCSIM и не подходит для атаки на реальные системы промышленной автоматизации. Специалисты Siemens подтвердили FireEye, что Irongate не эксплуатирует уязвимости в их программном обеспечении. Во время атаки Irongate подменяет динамическую библиотеку, которая входит в состав программного пакета Siemens.
Модифицированная библиотека вклинивается между промышленным контроллером и софтом для мониторинга. В течение пяти секунд она записывает сигналы, поступающие с контроллера, а затем воспроизводит их по кругу. После этого Irongate может делать всё, что угодно, и оператор ничего не заметит. Ещё одна важная особенность Irongate заключается в том, что он отказывается работать внутри систем VMWare и Cuckoo Sandbox. Можно предположить, что таким образом его разработчики пытались помешать изучению своего детища.
Это самое веское свидетельство в пользу того, что Irongate разработан с преступными целями. Честным программам прятать нечего. Вполне возможно, что Irongate представляет собой не готовую вредоносную программу, а незаконченный прототип.
Специалистам FireEye не удалось связать Irongate с известными атаками. Информации о его происхождении пока тоже нет. Кроме того, ничто не свидетельствует о преемственности со Stuxnet. Взято с xakep.ru