Industroyer：自震網病毒以來對工控系統的最大威脅

E安全6月14日文 位於斯洛伐克反病毒廠商ESET和美國馬里蘭州工業網路安全企業Dragos Inc.的安全研究人員們表示，他們發現了一種對關鍵的工業控制系統存在威脅並能夠導致停電的惡意程序。ESET該惡意軟體命名為「Industroyer」，Dragos將該惡意軟體命名為「Crashoverride」，將威脅攻擊者稱為「ELECTRUM」。安全研究人員們認為，這套被稱為「Crashoverride」或者「Industroyer」的惡意程序框架正是去年12月導致烏克蘭基輔北部地區停電數小時的罪魁禍首。

截至本周一，現實世界當中僅出現過三例針對工業控制系統的惡意程序肆虐案例，分別為BlackEnergy（2015年12月被用於烏克蘭電網攻擊）、Havex（主要用於攻擊歐洲境內組織）以及最為知名的美國政府開發之Stuxnet（即震網病毒，2010年被用於伊朗核設備攻擊）。而Industroyer的出現為這一家族增添了新的成員。

斯洛伐克反病毒廠商ESET公司研究員羅伯特·利普維斯基作為這一惡意程序的發現者，他表示這樣的惡意程序擁有巨大的潛在影響能力，且絕不僅限於烏克蘭。目前全球範圍內各類關鍵性基礎設施都有採用能夠被該惡意程序所侵擾的工業硬體產品。

此惡意程序的發現意義極為重大，因為其代表著有史以來第一個直接與電網硬體進行交互的已知惡意案例。

Industroyer或與烏克蘭電網攻擊有關

各國立法者們長久以來一直擔心此類程序可能以遠程方式破壞工業系統，因為其確實有能力通過互聯網引發災難性的後果。過去，黑客們通過攻擊手段關閉電力供應的場景只局限於電影當中，但如今卻開始逐漸成為現實。2010年研究人員們發現的Stuxnet震網病毒顯然是希望憑藉自身突破性的滲透能力引發離心機失控，進而破壞伊朗的核研究計劃。而到2015年，網路攻擊使得烏克蘭國內超過20萬民眾失去電力供應。

ESET公司

ESET公司在報告中披露稱，某台安裝在烏克蘭基輔的電力傳輸設備曾於2016年12月17日晚因惡意程序影響而發生服務中斷。烏克蘭官員此前簡單宣稱該事故屬於網路攻擊，但ESET報告中引用了來自美國馬里蘭州工業網路安全企業Dragos的分析結論，通過具體的技術細節說明了該惡意程序如何破壞斷路器並通過批量刪除數據的方式掩飾其攻擊痕迹。

ESET公司解釋稱，要編寫出能夠破壞全球各地負責電力網路運作之工業控制器的代碼，要求攻擊者一方擁有強大的技術實力——而這亦證明這批黑客確實精通此道，並擁有資源在實驗室當中測試其惡意工具。

要發動Industroyer攻擊，惡意攻擊者首先需要入侵一套基礎設施，並以此為橋接點將病毒傳入該系統。攻擊者可以利用網路釣魚郵件或者其它感染載體獲得初步立足點並收集用戶憑證。

ESET研究員利普維斯基拒絕透露該惡意程序的幕後黑手，不過此前烏克蘭方面官員已經斷言此項入侵應由俄羅斯負責。烏克蘭官員還沒有對相關報道發布回復。

安全公司Dragos

Dragos的研究人員認為ELECTRUM APT組織與Sandworm APT組織有直接關係。

Dragos在報告中指出，CRASHOVERRIDE惡意軟體於2016年12月17日影響了烏克蘭的變電站。這起攻擊中的許多元素似乎更像是PoC。但從間諜情報技術的演變來看，最重要的是理解，這款惡意軟體根據過去的攻擊經驗被整理和擴展。

Dragos描述了這款惡意軟體的理論攻擊：即黑客使用Industroyer無限循環打開關閉的斷路器，導致變電站斷電。並且，由於命令無限循環，不斷為該值設置地址，可以有效打開關閉的斷路器。

如果系統操作人員試圖在HMI上發出關閉命令，則序列循環將繼續打開斷路器。保持斷路器打開的循環將有效使變電站斷電，阻止系統操作人員管理斷路器並啟動線路。因此，目標設施的操作人員無法將斷路器從HMI關閉，為了恢復供電，他們需切斷與變電站的通信，並手動修復問題。在另一起可能的攻擊場景中，黑客啟動無線循環，使斷路器持續打開、關閉，這可能會觸發保護，並導致變電站斷電。

Industroyer不利用任何「零日」漏洞進行攻擊

Industroyer是一款模塊化惡意程序。其核心組件為一套後門程序，攻擊者可利用其管理攻擊活動：該後門負責安裝並控制其它組件，同時接入遠程伺服器以接收指令以及向攻擊者發送報告。

之所以與其它針對基礎設施的惡意軟體有所區別，是因為Industroyer不會利用任何「零日」軟體漏洞進行惡意攻擊。 Industroyer的起效原理依賴於電源基礎設施、運輸控制系統和其他關鍵基礎設施系統中使用的四種工業通信協議。此類通信協議在歐洲、中東以及亞洲的基礎設施系統中皆得到普遍使用。

Industroyer的設計目的在於直接獲取配電站內開關及斷路器設備之控制權。Industroyer可以控制幾十年前設計的變電站開關和斷路器，允許攻擊者輕易地關閉配電，造成級聯故障，甚至是對設備造成更嚴重的損壞。這對於負責供電設施的從業者來說，這無疑將帶來噩夢般的情景。

Industroyer的攻擊場景

Industroyer所利用的四種工業通信協議具體包括IEC 60870-5-101、IEC 60870-5-104、IEC 61850以及OLE處理控制數據訪問（簡稱OPC DA）。

總體來講，payload會首先對目標網路進行結構繪製，而後找到其中與特定工業控制設備相關的部分並發出命令。Industroyer的payload證明該惡意軟體作者對於工業控制系統擁有深厚的知識積累與了解。

通過一系列入侵，該模塊化惡意程序還可用於對美國的基礎設施硬體發動攻勢。而該payload本身可影響到ABB集團以及西門子等世界領先工業技術開發商生產的多款產品。

該惡意程序中還包含其它幾項功能，旨在確保程序自身免受安全檢測方案的發現，從而實現惡意程序持久性並在相關活動完成後清除能夠證明自身存在的一切痕迹。

舉例來說，其與隱藏在Tor內的C&C伺服器間的通信活動將僅限於非工作時間內進行。另外，其還採用另一套被偽裝為記事本應用的後門，旨在重新獲取對目標網路的訪問，藉此防止主後門遭到檢測或禁用。

另外，其清理器模塊還能夠擦除系統之內的關鍵性註冊表項並覆蓋相關文件，導致系統無法啟動以提升恢復工作執行難度。更為有趣的是，其中的埠掃描器會繪製網路結構並嘗試找到相關計算機，而此掃描器為攻擊者自行開發的定製化工具——而未使用任何現有軟體。最後，「拒絕服務」工具模塊會利用西門子SIPROTEC設備當中的CVE-2015-5374安全漏洞並導致目標設備陷入無響應狀態。

總結

Industroyer是一款高度定製化惡意程序。儘管其能夠在通用狀態下用於攻擊使用某些常見通信協議的任意工業控制系統，但樣本分析中發現的部分組件還被設計為針對一部分特定硬體。例如，清除器與其中一項payload部件專門用於攻擊來自ABB集團的某些工業電力控制產品系統，而拒絕服務組件則專門針對變電站以及其它相關領域中所使用的西門子SIPROTEC設備。

從原則上講，在未進行現場調查的前提下，我們很難將攻擊活動與具體惡意軟體關聯起來。然而就目前的情況看，2016年12月發生的烏克蘭電網攻擊事件很可能與Industroyer有關。這是因為該惡意軟體除了確實擁有執行此類攻擊的獨特能力，其激活時間戳亦為2016年12月17日——與烏克蘭停電事件的發生時間恰好相符。

2016年烏克蘭電網攻擊事件所引發的各方關注度要低於一年之前的類似攻擊。然而真正值得關注的是，此次攻擊中所使用的Win32/Industroyer工具是一款非常先進的惡意程序，無疑出自水平極高且目標極為明確的攻擊者之手。

由於能夠長久駐留在目標系統當中並根據有價值信息以對payload進行調試定製化配置，因此攻擊者能夠保證該惡意軟體適應任何環境——這使得Industroyer變得異常危險。無論烏克蘭電網遇襲事件是否由其為之，Industroyer的曝光都應引起世界各地關鍵性基礎設施安全負責人的高度警惕。

由於Industroyer並不屬於蠕蟲型病毒：其並不會自動傳播或者瞬間從某一受感染系統傳播到其它系統當中。換言之，根據目前掌握的相關證據來看，其無法輕鬆實現擴展。目前尚不清楚Industroyer已經影響到多少組織機構。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！