O armă cibernetică din Rusia ar putea afecta grav rețeaua electrică din S.U.A.
Virusul, denumit CrashOverride, este doar cea de-a doua instanta a programelor malware special concepute pentru a perturba sau distruge sistemele de control industrial, potrivit noilor cercetari. Ellen Nakashima de la Washington Post explică acest fenomen. (The Washington Post)
Hackerii, aliati cu guvernul rus, au divizat o arma cibernetica ce are potentialul de a fi cea mai distructiva pana in prezent, actionand asupra sistemului electric de care americanii depind in viata de zi cu zi, potrivit cercetatorilor americani.
Virusul, pe care cercetatorii l-au numit CrashOverride, se stie ca a afectat un singur sistem energetic – in Ucraina in luna decembrie. In acel incident, hackerii au inchis pe scurt o cincime din puterea electrica generata in Kiev.
Insa modificat, poate fi lansat impotriva transmisiei electrice si sistemelor de distributie americane cu efecte devastatoare, a mentionat Sergio Caltagirone, director responsabil cu amenintarile asupra informatiilor, la Dragos, o firma de securitate cibernetica care a studiat virusul si a emis raportul luni.
Si hackerii guvernului rus si-au aratat interesul in a tinti energia americana si alte servicii publice, au declarat cercetatorii.
„Este punctul culminant a peste un deceniu de teorii si simulari de atacuri”, a avertizat Caltagione.
„E o noua era.”
Descoperirea vine, dupa ce guvernul american a investigat o gama larga de scenarii, cat si dupa efortul ambitios al guvernului rus de a distruge sistemul electoral al alegerilor prezidentiale si de a influenta rezultatelor acestora. Acea campanie a angajat o varietate de metode, printre care sabotarea a sute de organizatii politice si nu numai, sau manipularea retelelor de socializare, declara oficialii americani.
Dragos a denumit acest grup care a creat noul virus, Electrum, si sustine cu mare incredere ca Electrum a folosit acelasi sistem de computere pe care l-au folosit hackerii care au atacat reteaua electrica ucraineana in 2015. Acel atac, care a lasat 225 000 de clienti fara energie electrica, a fost condus de hackerii guvernamentali rusi, au concluzionat alti cercetatori americani.
Oficialii guvernului american nu au atribuit oficial atacul catre guvernul rus, insa niste surse anonime concureaza cu analiza din sectorul privat.
„Acelasi grup rusesc care a avut ca tinta sistemele americane (ramura industriala) a aprins luminile in Ucraina” a declarat John Hultquist, care a analizat ambele incidente in timp ce la ISight Partners, o firma de inteligenta artificiala, acum detinuta de echipa lui Hultquist au denumit acest grup Sandworm.
„Credem ca Sandworm este intr-un fel legat de guvernul rus, indiferent daca sunt contractori sau oficiali guvernamentali, nu suntem siguri”, a spus dansul.
„Credem ca au legaturi cu serviciile de securitate.”
Sandworm si Electrum ar putea fi acelasi grup care lucreaza in aceeasi organizatie, dar dovezile juridice arata ca ele sunt in legatura, a spus Robert M. Lee seful executiv al Dragos.
Departamentul Securitatii Nationale, care lucreaza cu detinatorii sistemelor de infrastructura critice ale tarii, nu au raspuns cererii unei declaratii duminica.
Expertii din sectorul energetic au declarat ca noul virus este un motiv de ingrijorare, insa industria cauta sa dezvolte cai prin care sa impiedice atacatorii care ataca sistemele.
„Serviciile americane si-au imbunatatit securitatea cibernetica, dar metode ale atacatorilor ca acestea reprezinta un risc foarte serios pentru buna functionare a sistemelor energetice”, a declarat Michael J. Assante, care a lucrat la Laboratoarele Nationale din Idaho si care este fost ofiter-sef al securitatii din cadrul Corporatiei Nord Americane de Fiabilitate Electrica, unde a supravegheat lansarea standardelor de siguranta cibernetica in industrie.
In 2015, rusii au folosit programe malware pentru a obtine controlul retelei de distributie energetica din vestul Ucrainei, insa hackerii au fost cei care au manipulat de la distanta sistemele electrice care au cauzat pana de curent – nu virusul insasi, a spus Hultquist.
Cu CrashOverride, „ceea ce e cu adevarat alarmant… este ca face parte dintr-un tablou mai mare”, a spus Dan Gunter, un vanator de amenintari de la Dragos.
Virusul este ca un „cutit elevetian militar”, unde scoti unealta de care ai nevoie si mai poti adauga unelte pentru a obtine efecte diferite, a declarat Gunter.
Teoretic, virusul poate fi modificat sa atace diferite sisteme de comanda industriale, cum ar fi cele de apa si gaz. In orice caz, adversarul nu a dat dovada de asemenea nivel de complexitate, a spus Lee.
Totusi, atacatorii probabil au experti si acces la resurse, nu doar pentru a construi visursul-cadru, ci si sa il testeze, a declarat Gunter.
„Aceasta da dovada de un mare efort, adesea asociat cu state-natiuni sau operatii de grup sponsorizate puternic”.
Una dintre cele mai insiduoase unelte continute de virusul CrashOverride, manipuleaza reglajele sistemelor electrice de control. Cauta componentele cheie care controleaza intrerupatoarele circuitului, actioneaza intrerupatoarele si intrerupe circuitele de energie electrica. Continua sa tina circuitele întrerupte chiar daca un operator incearca sa inchida intrerupatoarele si sa refaca circuitele, creand astfel o pana de curent sustinuta.
Virusul, de asemena are si o componenta de „stergere” care sterge programul de pe sistemele de computere care controleaza intrerupatoarele retelei, fortand operatorul retelei sa treaca pe comenzile manuale, ceea ce in final conduce la substatia care reface fulxul electric.
Cu acest virus, atacatorul poate tinti locatii multiple cu o functionalitate intarziata si poate regla virusul sa declanseze simultan, a spus Lee. Acest lucru poate crea pene de electricitate in zone diferite in acelasi timp.
Penele de curent pot tine intre 2 ore si maxima doua zile, a declarat Lee. Aceasta se datoreaza faptului ca industria americana de electricitate si-au pregatit operatorii sa abordeze caderi de electricitate cauzate de furtuni puternice.
„Au fost cazuri cand au restaurat reteaua elctrica cu operatii manuale”, a spus el.
Deci, chiar daca virusul este „un pas semnificativ in fata prin ingeniozitatea lui, nu este unul care sa creeze un scenariu apocaliptic”, a spus Lee.
Primele mostre ale virusului au fost obtinute mai intai de ESET, o firma de cercetare slovaca, care a aratat cateva mostre si firmei Dragos. ESET a denumit virusul Industroyer.