Industroyer去年襲擊烏克蘭電網?這可能是震網之後最危險的工控惡意程序
2016年12月發生過一起針對烏克蘭電網的黑客襲擊事件,造成其首都基輔斷電超一小時,數百萬戶家庭被迫供電中斷。
最近安全專家經調查發現,侵入烏克蘭工控系統的罪魁禍首可能是——Win32 / Industroyer。位於斯洛伐克的安全軟體製造商 ESET 以及美國關鍵基礎設施公司Dragos Inc. 表示,他們檢測出的這個惡意程序能夠控制關鍵工業控制系統,引發大規模停電,造成設施損害,甚至其他更大的危害。
這款名為Industroyer 或者CrashOverRide 的惡意程序,很可能被用在上起電力設施攻擊事件中,這也代表了黑客入侵關鍵基礎設施技術的新發展。
此次的 Industroyer 很可能是自 2009年 Stuxnet 以來對工控系統而言,最具威脅性的惡意程序。
——ESET安全專家
安全威脅及侵入方法Industroyer 引發的安全威脅是非常特別的
因為這個惡意軟體使用的是全球範圍內的的工業通訊協議(包括電力供應基礎設施、運輸控制系統和其他關鍵基礎設施系統如水、天然氣的協議),它最終會涉及對各地變電站的能源開關及斷路器的控制。可以說,它可能造成的安全威脅範圍廣,影響大。
這些能源開關以及斷路器實際上是個數字化開關。從技術實現的角度說,這些開關和斷路器可以實現各種多樣化功能。因此,惡意程序對其影響可能是簡單的關閉配電,引起多個層級的錯誤,甚至到對整體設施的各種損害。損害的嚴重程度因變電站而異,但這種破壞會直接或間接地影響重要服務的正常運作。
Industroyer 利用工控通訊協議進行侵入
由於工控協議本身是在數十年前設計的,而當時的工業系統與外部世界隔絕,因此工業界制定通信協議時並沒有考慮安全性。這意味著攻擊者不需要尋找協議漏洞,他們需要的只是教會惡意軟體「使用「這些協議進行通訊。
最近一次的斷電事件發生在2016年12月17日,距離上起2015年12月烏克蘭斷電事件超過已經經過了1年的時間。曾經,犯罪分子使用惡意程序 BlackEnergy 滲透電力網路,再使用 KillDisk 等其他惡意組件,遠程控制操作者的工作區實施切斷電力的操作。而現在使用的Industroyer 與先前的BlackEnergy 相比,除了都針對的是烏克蘭電網,它們的代碼中並沒有其他明顯的相似性。
結構設計及關鍵功能
和 Stuxnet 蠕蟲不同,Industroyer 惡意程序並不利用 0day 漏洞,它只是利用國際通用的四種工業通訊協議(運用在能源、運輸等其他重要基礎設施系統中)來實現惡意活動。
通過核心的後門程序,攻擊者可以對攻擊行為進行管理:安裝和控制其他組件,連接到遠程伺服器來接受指令,並返回信息給攻擊方。Industroyer有四個 payload 組件,用於直接獲取對於變電站開關和斷電器的控制。每個組件都針對了一種特定的通訊協議:IEC 60870-5-101, IEC 60870-5-104, IEC 61850 和 OLE(OPCDA)。Payload 會在目標映射網路的階段工作,然後尋找並發出與特定工業控制設備配合使用的命令。
惡意程序具備逃避檢測的能力。為了確保惡意程序的持續性,它還會在完成任務後進行痕迹清理。程序與 Tor 中的 C&C 伺服器通訊會限制在非工作時間進行。當主後門程序不能正常工作時,它還會調用另外一個後門程序——將其偽裝成 Notepad 應用程序——用以重新獲取目標網路的許可權。其中 wiper 組件可以用來擦除系統關鍵位置的註冊表項並覆蓋文件,來使系統無法啟動,且讓系統恢復過程變得艱難。而最後一個組件DoS工具,則會利用西門子 SIPROTEC 設備中的 CVE-2015-5374 漏洞,使目標設備無法響應請求。
事件小結
目前在工控安全中,已經發現四種惡意程序,分別為Stuxnet, BlackEnergy, Havex 和現在的 Industroyer。其中Stuxnet 與Industroyer 均屬於蓄意破壞性的程序,均以破壞電力控制設備實現斷電為目標。
烏克蘭電網遭遇黑客襲擊事件在2016年再次發生,獲得的關注儘管比2015年的少了許多,但此次發現的 Industroyer 變得比之前出現的惡意程序更先進,攻擊者看來似乎不僅有著堅定的決心,還有著較強的能力。
Industroyer 惡意程序的 payload 設計也顯示出製作者所掌握的知識深度和對工控系統的透徹理解。
——ESET 研究員
我們可以看到,Industroyer可以潛藏在系統中按照攻擊者的意願調整 payload ,這種具備高適應性的惡意程序會是極其危險的。
簡而言之,這起事件應該為全球其他關鍵基礎設施的系統安全敲響警鐘!
參考材料:ETST白皮書和github
※資深產品經理是如何做需求管理的:需求的優先順序判定原則
※流動的藏私:論匿名社交
※手把手教你如何通過流氓WiFi熱點實施網路釣魚
※Barclays、Allianz和Disney的DevOps實現:DOES17倫敦站第一天主題演講
※瀏覽大型代碼庫的提示和技巧
TAG:推酷 |
※下一代 Android 系統可能會擁抱 iPhone X 的「劉海」
※愛的卑微 可能是 lithormantic 在作祟
※5位泰國真正的網紅,可能你會追蹤她的Instagram
※Samsung承認Android Oreo更新後可能存在隨機重新啟動問題
※Red Hat:Meltdown和Spectre漏洞可能會影響性能
※Windows手機系統被進一步放棄,Surface Phone可能再跳票!
※藝術是一切可能:Rick Owens和Michele Lamy 的暗黑美學
※Android P 可能學習iPhoneX的劉海屏幕
※可能是你玩過最燒腦的戰棋!FTL製作者帶來的Into the Breach
※Bose SoundSport:可能是能買到的最好的無線藍牙
※Bragi The Dash Pro體驗:可能是目前最好的分體藍牙耳機,之一?
※你的iCloud數據可能存儲在Google Cloud中
※OVO x adidas?Drake 有可能離開 Jordan 投奔 adidas!
※你可能不知道的 Django Rest Framework 的兩個新特性
※Believe in love,這可能是武漢最適合用來求婚的甜點
※英國時尚金童Christopher Bailey談離開Burberry後的打算,排除自創品牌的可能
※「自由牧場」里的雞可能並不自由 Egg labelling laws now,chicken next?
※iBoot代碼泄漏到GitHub可能有助於iPhone的破壞者
※iPhone傳聞如海 但可能根本就沒有iPhone SE2
※可能把Supreme都沒當回事!Wood Wood x Champion聯名才是品牌真設計!