Industroyer去年袭击乌克兰电网?这可能是震网之后最危险的工控恶意程序

2016年12月发生过一起针对乌克兰电网的黑客袭击事件,造成其首都基辅断电超一小时,数百万户家庭被迫供电中断。

最近安全专家经调查发现,侵入乌克兰工控系统的罪魁祸首可能是——Win32 / Industroyer。位于斯洛伐克的安全软件制造商 ESET 以及美国关键基础设施公司 Dragos Inc. 表示,他们检测出的这个恶意程序能够控制关键工业控制系统,引发大规模停电,造成设施损害,甚至其他更大的危害。

这款名为 Industroyer 或者 CrashOverRide 的恶意程序,很可能被用在上起电力设施攻击事件中,这也代表了黑客入侵关键基础设施技术的新发展。

此次的 Industroyer 很可能是自 2009年 Stuxnet 以来对工控系统而言,最具威胁性的恶意程序。 ——ESET安全专家


安全威胁及侵入方法

Industroyer 引发的安全威胁是非常特别的

因为这个恶意软件使用的是全球范围内的的工业通讯协议(包括电力供应基础设施、运输控制系统和其他关键基础设施系统如水、天然气的协议),它最终会涉及对各地变电站的能源开关及断路器的控制。可以说,它可能造成的安全威胁范围广,影响大。

这些能源开关以及断路器实际上是个数字化开关。从技术实现的角度说,这些开关和断路器可以实现各种多样化功能。因此,恶意程序对其影响可能是简单的关闭配电,引起多个层级的错误,甚至到对整体设施的各种损害。损害的严重程度因变电站而异,但这种破坏会直接或间接地影响重要服务的正常运作。

Industroyer 利用工控通讯协议进行侵入

由于工控协议本身是在数十年前设计的,而当时的工业系统与外部世界隔绝,因此工业界制定通信协议时并没有考虑安全性。这意味着攻击者不需要寻找协议漏洞,他们需要的只是教会恶意软件“使用“这些协议进行通讯。

最近一次的断电事件发生在2016年12月17日,距离上起2015年12月乌克兰断电事件超过已经经过了1年的时间。曾经,犯罪分子使用恶意程序 BlackEnergy 渗透电力网络,再使用 KillDisk 等其他恶意组件,远程控制操作者的工作区实施切断电力的操作。而现在使用的 Industroyer 与先前的 BlackEnergy 相比,除了都针对的是乌克兰电网,它们的代码中并没有其他明显的相似性。

结构设计及关键功能

和 Stuxnet 蠕虫不同,Industroyer 恶意程序并不利用 0day 漏洞,它只是利用国际通用的四种工业通讯协议(运用在能源、运输等其他重要基础设施系统中)来实现恶意活动。

通过核心的后门程序,攻击者可以对攻击行为进行管理:安装和控制其他组件,连接到远程服务器来接受指令,并返回信息给攻击方。Industroyer有四个 payload 组件,用于直接获取对于变电站开关和断电器的控制。每个组件都针对了一种特定的通讯协议:IEC 60870-5-101, IEC 60870-5-104, IEC 61850 和 OLE(OPCDA)。Payload 会在目标映射网络的阶段工作,然后寻找并发出与特定工业控制设备配合使用的命令。

恶意程序具备逃避检测的能力。为了确保恶意程序的持续性,它还会在完成任务后进行痕迹清理。程序与 Tor 中的 C&C 服务器通讯会限制在非工作时间进行。当主后门程序不能正常工作时,它还会调用另外一个后门程序——将其伪装成 Notepad 应用程序——用以重新获取目标网络的权限。其中 wiper 组件可以用来擦除系统关键位置的注册表项并覆盖文件,来使系统无法启动,且让系统恢复过程变得艰难。而最后一个组件DoS工具,则会利用西门子 SIPROTEC 设备中的 CVE-2015-5374 漏洞,使目标设备无法响应请求。

事件小结

目前在工控安全中,已经发现四种恶意程序,分别为Stuxnet, BlackEnergy, Havex 和现在的 Industroyer。其中 Stuxnet 与 Industroyer 均属于蓄意破坏性的程序,均以破坏电力控制设备实现断电为目标。

乌克兰电网遭遇黑客袭击事件在2016年再次发生,获得的关注尽管比2015年的少了许多,但此次发现的 Industroyer 变得比之前出现的恶意程序更先进,攻击者看来似乎不仅有着坚定的决心,还有着较强的能力。

Industroyer 恶意程序的 payload 设计也显示出制作者所掌握的知识深度和对工控系统的透彻理解。 ——ESET 研究员

我们可以看到,Industroyer可以潜藏在系统中按照攻击者的意愿调整 payload ,这种具备高适应性的恶意程序会是极其危险的。

简而言之,这起事件应该为全球其他关键基础设施的系统安全敲响警钟!


原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-06-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(185)-FI-157应收账款

FI157应收账款 该业务情景处理应收帐款中客户的过帐会计数据。客户在此处对数据进行排序,使数据对其他区域(如销售和分销系统)可用。当您过帐应收帐款中的数据时,...

33590
来自专栏黑白安全

黑客在黑帽安全会议上展示直接入侵一台联网的全新 MacBook

苹果的设备一直被认为相当具有安全性,但是它可能并非完全如此。虽然 Windows 可能容易受到攻击,但 macOS 好像也不那么安全,例如一台全新的 MacBo...

7430
来自专栏安恒信息

Cryptolocker劫持软件肆虐,感染25万PC

据报道,Cryptolocker劫持软件已经感染约25万台PC。Cryptolocker这款劫持软件恶意加密用户数据,然后索要一定的费用,否则...

30140
来自专栏FreeBuf

移动APP安全行业报告金融篇

移动 APP 安全行业现状与导读 移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内移动...

373100
来自专栏FreeBuf

如何入侵大疆Phantom 3无人机

最近,我有了一些空闲时间可以与我的飞行“精灵”一起玩,但不是你想的那种玩,我是在想着如何能够破解这款大疆Phantom 3无人机。 这是我第一次操作无人机或类似...

24090
来自专栏FreeBuf

关于弱密码摄像头被入侵实验

前不久,央视曝光大量摄像头存在弱密码被黑客入侵后,信息叫卖的情况,为了学习研究弱密码摄像头的危害性,我们打算对此进行复现。 证实可行 首先,根据网上的资料,我们...

44460
来自专栏VRPinea

HTC发布Vive无线适配器设置说明,需要额外的PCle插槽

虽然当初预计该款设备将在夏末发售,但至今还没有具体的价格和发售日期。不过最近在该公司的英国站点(该页面现已移除)上,出现了一份安装手册。手册上详细介绍了安装英特...

7810
来自专栏非著名程序员

由勒索病毒而引起的一些想法和看法

从5月12日晚,勒索病毒开始慢慢爆发,到今天至此更是快速蔓延,席卷全球。全球近100个国家的不计其数的电脑受到一个叫做“WannaCry”勒索病毒的侵扰。到目前...

25050
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应收帐款(157)-1业务概览

用途 该业务情景主要描述的是在应收账款模块中对销售业务进行会计记账。 优点 应收帐款模块与销售管理完全集成 应收帐款模块中的所有明细账数据会直接更新总账...

38840
来自专栏FreeBuf

CIA专攻物理隔离网络的工具“残忍的袋鼠”曝光

维基解密的年度大戏Vault 7虽然还没到周更的程度,但更新频率也已经相当频繁,所以后续CIA泄露工具和手册的出现已经让人见怪不怪了。本周Vault 7系列更新...

23340

扫码关注云+社区

领取腾讯云代金券