Ricercatori Eset hanno individuato la causa dietro al blackout avvenuto lo scorso dicembre in Ucraina del nord, si tratterebbe di un malware chiamato Destroyer o Crashoverride che ha il solo scopo di colpire obiettivi come impianti industriali, centrali elettriche ecc causandone il blackout.
Un aspetto degno di nota è che il malware non sfrutta alcuna vulnerabilità bensì utilizza quattro protocolli di comunicazione utilizzati in ambiti industriali e in molte critiche infrastrutture in tutto il mondo. Questi protocolli di comunicazione sono stati sviluppati diversi anni fa, quando il tema sicurezza non era tra i primi posti, comportando quindi oggi la possibilità di istruire i malware ad usare questi protocolli, senza sfruttare alcuna vulnerabilità.
La funzionalità del malware sono quelle di eliminare chiavi di registro e file di sistema critici al fine di rendere l’infrastruttura o il sistema non più avviabile, riavviabile o facilmente ripristinabile. Inoltre, contiene un exploit inerente una vulnerabilità nei sistemi SIEMENS SIPROTEC, risolta già ma utilizzata per attacchi Denial Of Service.
Il malware è modulare e dispone di un server C&C su rete TOR con cui comunica solo in orari NON lavorativi, per non esser individuato. Se rilevato, configura un ulteriore backdoor nel sistema camuffato da un comune notepad, per poter avere comunque l’accesso alla rete.
I danni provocati da questo malware non sono distruttivi, però possono portare ad un blackout dei servizi per ore se non uno-due giorni in caso di attacchi simultanei in più siti. Per approfondimenti leggere questi articoli: