Вредоносное ПО Irongate для SCADA-систем имеет схожие черты с Stuxnet

Эксперты компании FireEye сообщили о новом семействе вредоносного ПО Irongate для SCADA-систем, имеющем схожие черты с печально известным червем Stuxnet. Обнаруженные исследователями образцы разработаны специально для манипуляций с определенными процессами в симулированной среде системы управления Siemens.

Эксперты выявили образцы вредоносного ПО на VirusTotal. Два из них были загружены различными источниками еще в 2014 году, однако ни один представленный на VirusTotal производитель антивирусных решений не отметил их как вредоносные. Компьютерная команда экстренной готовности Siemens (ProductCERT) подтвердила, что Irongate непригоден для функционирующих в настоящее время контроллеров Siemens и не эксплуатирует уязвимости в продуктах компании.

Исследователи затрудняются связать вредонос с какой-либо определенной кампанией или хакерской группировкой. По их данным, Irongate был разработан в качестве PoC-кода или в исследовательских целях.

Вредоносное ПО использует технику атаки на системы управления, впервые зафиксированную с появлением Stuxnet, но только в симулированной среде. Irongate позволяет осуществлять атаку «человек посередине» на процесс ввода/вывода, а также атаковать ПО оператора процесса. С его помощью злоумышленник может изменять настройки контроллеров без ведома оператора системы. Еще одной общей чертой с Stuxnet является способность обходить обнаружение. Stuxnet может определять наличие антивируса, а Irongate – виртуальной машины.