SentinelOne Labs, które odkryło pierwsze próbki wirusa w jednej z europejskich firm z branży energetycznej, twierdzi że wirus jest opracowany i przygotowany przez bardzo zaawansowany zespół programistów. Według firmy, za zastosowanymi rozwiązaniami mogą nawet stać osoby wspierane przez agencje rządowe.
Wirus zawarty jest w 280 kilobajtów kodu, o rzadko spotykanym poziomie programowania oraz narzędziach, których nie spotyka się w typowym wirusie wyprodukowanym przez osoby, należące nawet do większych grup hakerskich. Wskazują na to także wykorzystane luki w zabezpieczaniach przez złośliwe oprogramowanie. Według SentinelOne Labs są to m.in. CVE-2014-4113 i CVE-2015-1701 występujące w zabezpieczeniach wykorzystywanych do kontrolowania dostępu do ważnych elementów infrastruktury krytycznej. Rozwiązania o których mowa są stosowane choćby przez firmę ZKTeco, która jest globalnym producentem rozwiązań z zakresu zabezpieczeń wykorzystujących biometrykę przy rozpoznawaniu twarzy, odciskach palców oraz RFID – technologii wykorzystującej fale radiowe.
Jednak to nie wszystkie cechy wirusa, jest on na tyle złożony, że jest w stanie na komputerach z systemem Windows wyłączyć jeden po drugim procesy oprogramowania antywirusowego. Zainstalowany bezpośrednio na urządzeniach zarządzających strukturą bezpieczeństw ZKTeco jest automatycznie blokowany, jednak osoby odpowiedzialne za wirusa wykorzystały podatności punktów końcowych w sieci, tak aby uniknąć problemów związanych z wykryciem działania złośliwego oprogramowania przez zaawansowane narzędzia. Stąd może brać się wykorzystanie luk w systemach Microsoft Windows, obie podatności zostały załatane, najwidoczniej jednak systemy wykorzystywane w branży energetycznej nie są tak często aktualizowane.
SFG jak nazwali go specjaliści z SentinelOne Labs po udanym włamaniu oraz uzyskaniu dostępu do uprawnień konta administratora łączy się z hakerem za pomocą bezpiecznego połączenia. Następnie możliwe jest zdalne działanie w obszarze systemu już z uprawnieniami administratora, co pozwala na dalsze penetrowanie sieci. Taki backdoor (tylne drzwi) stworzony przez SFG może spowodować według ekspertów – kontrolowany wyciek danych lub wyłączenie całej sieci energetycznej – mówią eksperci.
Wirus ma być powiązany z innym złośliwym oprogramowaniem unikającym antywirusów oraz przechodzącym przez większość zabezpieczeń – Furtim. Furtim został odkryty w maju tego roku przez firmę Ensilo.
Czytaj też: Hakerzy skuteczniejsi niż przestępcy