Az ipari folyamatirányító és szabályozó rendszerek kritikus szerepet töltenek be az azokat igénybe vevő vállalatok berkein belül. A működésük mind az üzletmenetfolytonosság, mind a biztonság szempontjából szigorúan szabályozandó. Noha e rendszerek az esetek döntő többségében jól elszeparáltan működnek a rájuk veszélyt jelentő hálózatoktól, vagyis az izoláció meglehetősen magas fokú, azért ez még nem szegi kedvét azoknak a támadóknak, akik a SCADA-alapú megoldások ostromlásával igyekeznek jelentős károkat okozni a célpontjaiknak.

Időről időre felbukkannak olyan kódok, amelyek elemzésekor kiderül, hogy célzott támadások során, SCADA-technológiák ellen vethetők be. Ezek közé tartozik a FireEye által leleplezett Irongate malware is - hívja fel cikkében a figyelmet a Biztonságportál.hu. 

Az Irongate talán legfontosabb jellemzője, hogy jelenleg PoC (Proof of concept) kódként funkcionál, és az eddigi vizsgálatok szerint még nem vett részt éles támadásban. Egyelőre úgy tűnik, hogy a készítők csak a szárnyaikat próbálgatják. Ennek ellenére a károkozó jól rávilágított egy támadási technikára, és felhívja a figyelmet arra, hogy még időben kell meghozni azokat a védelmi intézkedéseket, amik révén az Irongate-féle trükközés hatástalaníthatóvá válhat.

A támadási technika

Az Irongate által alkalmazott payload kódok nem új szerzemények. Két mintájukat a VirusTotal már 2014-ben regisztrálta. Ezeket a mintákat ugyanakkor eddig egyetlen víruskereső szoftver sem találta ártalmasnak, illetve gyanúsnak. Mostanra azonban bebizonyosodott, hogy nem éppen ártalmatlan kódokról van szó.

A FireEye szerint az Irongate-re épülő támadások egy dropper program segítségével vehetik kezdetüket, amely a célkeresztbe állított rendszerre feljuttatja a malware működéséhez szükséges kódokat. Egyúttal pedig ellenőrzi, hogy az adott rendszeren van-e bármiféle jele annak, hogy VMware alatt futna, vagy a Cuckoo sandbox révén lenne védve. Amennyiben ilyet nem észlel, akkor a payloadját egy scada.exe névű folyamat formájában betölti a memóriába.

Az Irongate a rendszeren olyan DLL-állományokat keres, melyek fájlneve "Step7ProSim.dll"-re végződik. Ezeket lecseréli egy kártékony változattal. Innentől kezdetét veszi a tényleges károkozás, amely leginkább közbeékelődéses (man-in-the-middle) támadások formájában valósul meg. A malware a megfertőzött vagy manipulált DLL-ek segítségével eléri, hogy beékelődjön a kiszemelt PLC, valamint a monitorozó szoftver közé.

A PLC-től érkező adatforgalmat öt másodpercenként lementi, és továbbítja azokat a monitorozó alkalmazás felé, amely az adatokat szokványos módon megjeleníti. Eközben azonban a PLC-felé módosított adatokat küld vissza. Ezzel eléri, hogy az operátor a monitorján semmiféle szokatlan jelenséget nem észlel, holott a PLC-k már manipuláltak.

Az Irongate lebuktatott variánsa a Siemens PLCSIM környezetekkel kompatibilis. A Siemens mérnökei is alaposan megvizsgálták a károkozót, és megállapították, hogy az egy olyan DLL-t kompromittál, amely alapértelmezetten nincs jelen a rendszereken, így a malware éles környezetek elleni támadásokba egyelőre nem kaphat szerepet. Ez is azt támasztja alá, hogy egy kísérleti példányról van szó. Mindenestre az alkalmazott technika a későbbiekben működőképesnek bizonyulhat, ezért a rendszerek integritásellenőrzésére különös figyelmet kell fordítani.