Industroyer去年袭击乌克兰电网？这可能是震网之后最危险的工控恶意程序

2016年12月发生过一起针对乌克兰电网的黑客袭击事件，造成其首都基辅断电超一小时，数百万户家庭被迫供电中断。

最近安全专家经调查发现，侵入乌克兰工控系统的罪魁祸首可能是——Win32 / Industroyer。位于斯洛伐克的安全软件制造商 ESET 以及美国关键基础设施公司 Dragos Inc. 表示，他们检测出的这个恶意程序能够控制关键工业控制系统，引发大规模停电，造成设施损害，甚至其他更大的危害。

这款名为 Industroyer 或者 CrashOverRide 的恶意程序，很可能被用在上起电力设施攻击事件中，这也代表了黑客入侵关键基础设施技术的新发展。

此次的 Industroyer 很可能是自 2009年 Stuxnet 以来对工控系统而言，最具威胁性的恶意程序。 ——ESET安全专家

安全威胁及侵入方法

Industroyer 引发的安全威胁是非常特别的

因为这个恶意软件使用的是全球范围内的的工业通讯协议（包括电力供应基础设施、运输控制系统和其他关键基础设施系统如水、天然气的协议），它最终会涉及对各地变电站的能源开关及断路器的控制。可以说，它可能造成的安全威胁范围广，影响大。

这些能源开关以及断路器实际上是个数字化开关。从技术实现的角度说，这些开关和断路器可以实现各种多样化功能。因此，恶意程序对其影响可能是简单的关闭配电，引起多个层级的错误，甚至到对整体设施的各种损害。损害的严重程度因变电站而异，但这种破坏会直接或间接地影响重要服务的正常运作。

Industroyer 利用工控通讯协议进行侵入

由于工控协议本身是在数十年前设计的，而当时的工业系统与外部世界隔绝，因此工业界制定通信协议时并没有考虑安全性。这意味着攻击者不需要寻找协议漏洞，他们需要的只是教会恶意软件“使用“这些协议进行通讯。

最近一次的断电事件发生在2016年12月17日，距离上起2015年12月乌克兰断电事件超过已经经过了1年的时间。曾经，犯罪分子使用恶意程序 BlackEnergy 渗透电力网络，再使用 KillDisk 等其他恶意组件，远程控制操作者的工作区实施切断电力的操作。而现在使用的 Industroyer 与先前的 BlackEnergy 相比，除了都针对的是乌克兰电网，它们的代码中并没有其他明显的相似性。

结构设计及关键功能

和 Stuxnet 蠕虫不同，Industroyer 恶意程序并不利用 0day 漏洞，它只是利用国际通用的四种工业通讯协议（运用在能源、运输等其他重要基础设施系统中）来实现恶意活动。

通过核心的后门程序，攻击者可以对攻击行为进行管理：安装和控制其他组件，连接到远程服务器来接受指令，并返回信息给攻击方。Industroyer有四个 payload 组件，用于直接获取对于变电站开关和断电器的控制。每个组件都针对了一种特定的通讯协议：IEC 60870-5-101, IEC 60870-5-104, IEC 61850 和 OLE（OPCDA）。Payload 会在目标映射网络的阶段工作，然后寻找并发出与特定工业控制设备配合使用的命令。

恶意程序具备逃避检测的能力。为了确保恶意程序的持续性，它还会在完成任务后进行痕迹清理。程序与 Tor 中的 C&C 服务器通讯会限制在非工作时间进行。当主后门程序不能正常工作时，它还会调用另外一个后门程序——将其伪装成 Notepad 应用程序——用以重新获取目标网络的权限。其中 wiper 组件可以用来擦除系统关键位置的注册表项并覆盖文件，来使系统无法启动，且让系统恢复过程变得艰难。而最后一个组件DoS工具，则会利用西门子 SIPROTEC 设备中的 CVE-2015-5374 漏洞，使目标设备无法响应请求。

事件小结

目前在工控安全中，已经发现四种恶意程序，分别为Stuxnet, BlackEnergy, Havex 和现在的 Industroyer。其中 Stuxnet 与 Industroyer 均属于蓄意破坏性的程序，均以破坏电力控制设备实现断电为目标。

乌克兰电网遭遇黑客袭击事件在2016年再次发生，获得的关注尽管比2015年的少了许多，但此次发现的 Industroyer 变得比之前出现的恶意程序更先进，攻击者看来似乎不仅有着坚定的决心，还有着较强的能力。

Industroyer 恶意程序的 payload 设计也显示出制作者所掌握的知识深度和对工控系统的透彻理解。 ——ESET 研究员

我们可以看到，Industroyer可以潜藏在系统中按照攻击者的意愿调整 payload ，这种具备高适应性的恶意程序会是极其危险的。

简而言之，这起事件应该为全球其他关键基础设施的系统安全敲响警钟！