Industroyer2: analisi del nuovo malware ICS che interrompe i servizi critici

Emanuele De Lucia : 20 Aprile 2022 08:23

Autore: Emanuele De Lucia
Data Pubblicazione: 18/04/2022

Pochi giorni fa, una nuova variante di un malware del ceppo Industroyer è stata impiegata durante un attacco informatico condotto contro i sistemi di controllo industriale (ICS) responsabili della gestione dei sottosistemi delle centrali elettriche in Ucraina .

Questa nuova versione è stata denominata Industroyer2 e rappresenta l’evoluzione di una famiglia di malware già osservata a dicembre 2016 che lavora contro obiettivi simili. 

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Questo tipo di attacco è stato segnalato dopo una lunga serie di altri attacchi contro organizzazioni ed entità ucraine che generalmente prevedevano l’uso di wiper, backdoor e attacchi DDoS .

INDUSTROYER2: Gli approfondimenti

Ho dato un’occhiata al file identificato con le seguenti caratteristiche:

Si tratta di un Portable Executable (PE) x86 a 37,00 Kb di dimensioni 32-bit compilato mercoledì 23 marzo 2022 10:07:29 come prova riportata di seguito

Fondamentalmente, il malware è progettato per leggere alcune voci di configurazione incorporate al fine di creare messaggi ASDU IEC-104 che gli consentono di interagire con le unità target remote (raggiungibili come indirizzi IP interni) tramite protocollo TCP.

Per ASDU, si intende un’Application Service Data Unit, ovvero un blocco di dati che viene inviato dalla stazione di controllo a una stazione esterna o altro dispositivo, o viceversa, utilizzando il protocollo IEC 60870-5.

Dando un’occhiata al flusso di esecuzione, possiamo vedere che questo malware gestisce due parametri opzionali dalla riga di comando che sono -t e -o come prova dell’estrazione del codice di seguito

• -o permette di scrivere un file di debug sul filesystem (di default è stampato sulla console);
• -t permette di ritardare l’esecuzione facendo riferimento al SystemTime corrente.

Dopo aver analizzato i parametri forniti tramite la CLI, il malware inizia a recuperare le informazioni dalle voci di configurazione incorporate

Queste voci vengono visualizzate come nell’immagine seguente

Ogni voce di configurazione inizia con un indirizzo IP interno (nell’immagine sopra oscurato negli ultimi due ottetti) e una porta, seguito da quattro numeri (potrebbero essere una sorta di flag operativi) un nome di processo e un percorso (in questo caso D: \OIK\DevCounter ).

L’ultimo pezzo è costituito dalle informazioni utilizzate per costruire il messaggio destinato ad essere inviato alle ASDU. Per ciascuna delle voci trovate, il malware va a terminare il processo PServiceControl.exe.

Il nome del processo è codificato all’interno dell’eseguibile.

A questo punto va ad enumerare nuovamente i processi per trovare il nome del processo corrispondente a quello specificato nella voce di configurazione (PService_PPD.exe).

Dopo aver recuperato il percorso D:\OIK\DevCounter e il nome del file PService_PPD.exe , rinominerà il file presente in questo percorso aggiungendo l’ estensione .MZ.

Molto probabilmente questo viene fatto per evitare che qualsiasi attività progettata per il processo “sempre attivo” venga riavviata. Per ogni configurazione embedded viene quindi creato un thread per implementare il protocollo di comunicazione IEC-104.

L IEC-104 estende l’IEC-101 in modo che possa essere trasmesso su una rete TCP/IP . Quindi in ciascuno di questi thread il malware tenterà di comunicare con l’indirizzo IP specificato utilizzando il protocollo descritto nello standard IEC-104 dopo aver ripetuto le voci ASDU nel blocco di configurazione.

In IEC-104 ogni oggetto nell’ASDU ha un indirizzo con delle informazioni. Fondamentalmente, lo scopo principale di questa azione è connettersi all’indirizzo IP specificato e inviare messaggi ASDU predisposti con conseguente stato dell’Information Object Address impostato su ON o OFF .

INDUSTROYER vs INDUSTROYER2

Facendo un’analisi comparativa con INDUSTROYER (il suo modulo IEC-104) e INDUSTROYER2 è possibile notare molte somiglianze soprattutto nella logica di funzionamento nonostante gli ultimi campioni presentino sicuramente differenze sostanziali rispetto a quelli del 2016.

Tra le somiglianze tecniche a livello di codice è possibile osservare sovrapposizioni nelle funzioni dedicate alla gestione, composizione e controllo dei messaggi ASDU .

Il nuovo eseguibile in alcuni casi unisce alcune stringhe rispetto al campione precedente ottimizzando in alcuni casi il processo di esecuzione globale ma in generale le stringhe che fanno riferimento ai messaggi di debug sono le stesse permettendo alle vecchie regole YARA di corrispondere anche al nuovo campione.

Secondo la prima prima attribuzione, condivisa dai ricercatori ESET e alla luce delle ulteriori evidenze tecniche estratte in questo articolo, la minaccia in questione è da collegare con il threat attore noto come Sandworm (aka BlackEnergy) associato alla Federazione Russa.

Conclusioni

Posso sicuramente dire che la famiglia di malware Industroyer è un sofisticato malware utilizzato contro i sistemi di controllo industriale (ICS). I risultati qui riportati sono in linea con le precedenti operazioni già attribuite dalla comunità della sicurezza ai gruppi APT russi e, per quanto ne so, questo è il primo malware compatibile con ICS utilizzato dall’inizio del conflitto tra Russia e Ucraina dopo un lungo serie di attacchi che hanno visto l’uso di wiper, backdoor, in diversi impianti nella fase iniziale e intermedia e attacchi DDoS .

L’uso di questo tipo di malware dovrebbe allertare sul potenziale dei gruppi APT collegati alla Federazione Russa, i quali stanno concentrando i loro sforzi contro i sistemi di controllo industriale (ICS) e la loro volontà di utilizzare questo tipo di “armi digitali” per causare l’interruzione dei servizi critici.

È importante considerare che gli aggressori potrebbero adattare questo malware ad altri target simili e che qualsiasi intrusione contro target di questo tipo è da considerarsi estremamente pericolosa e complessa da mitigare in relazione alla presenza di protocolli nati decenni fa che non hanno contemplato il fattore sicurezza.

RILEVAMENTO

Emanuele De Lucia
Laureato in Informatica (con master in Computer Security e un master alla Stanford University), ha lavorato come analista nel Security Operation Center (Se.OC o SOC) in una TELCO italiana e nel settore spaziale. Dirige un team internazionale di ricercatori focalizzato sulla Threat Intelligence, sul reverse engineering e la risposta agli incidenti.

Lista degli articoli