最新病毒库日期:
  • 可直接控制变电站开关 继震网之后Industroyer病毒来袭
2017-06-14 16:32 来源:未知
【文章摘要】近日,国外发现了一种对关键的工业控制系统存在威胁并能够导致停电的恶意程序。Industroyer可造成类似BlackEnergy的破坏效果2015年圣诞夜乌克兰大断电即为BlackEnergy恶意软件所为。
近日,国外发现了一种对关键的工业控制系统存在威胁并能够导致停电的恶意程序。Industroyer可造成类似BlackEnergy的破坏效果——2015年圣诞夜乌克兰大断电即为BlackEnergy恶意软件所为。该恶意软件可能也是去年一系列攻击的罪魁祸首,严重危害电力系统安全。据安全公司ESET透露,该恶意软件还可被修改为针对其他关键基础设施。
研究人员认为Industroyer是震网之后最复杂的ICS恶意软件——震网作为网络武器曾摧毁过伊朗核设施。
要发动Industroyer攻击,恶意攻击者首先需要入侵一套基础设施,并以此为桥接点将病毒传入该系统。攻击者可以利用网络钓鱼邮件或者其它感染载体获得初步立足点并收集用户凭证。
攻击者使用Industroyer无限循环打开关闭的断路器,导致变电站断电。并且,由于命令无限循环,不断为该值设置地址,可以有效打开关闭的断路器。
如果系统操作人员试图在HMI上发出关闭命令,则序列循环将继续打开断路器。保持断路器打开的循环将有效使变电站断电,阻止系统操作人员管理断路器并启动线路。因此,目标设施的操作人员无法将断路器从HMI关闭,为了恢复供电,他们需切断与变电站的通信,并手动修复问题。在另一起可能的攻击场景中,攻击者启动无线循环,使断路器持续打开、关闭,这可能会触发保护,并导致变电站断电。
Industroyer是一款模块化恶意程序。其核心组件为一套后门程序,攻击者可利用其管理攻击活动:该后门负责安装并控制其它组件,同时接入远程服务器以接收指令以及向攻击者发送报告。
之所以与其它针对基础设施的恶意软件有所区别,是因为Industroyer不会利用任何“零日”软件漏洞进行恶意攻击。Industroyer的起效原理依赖于电源基础设施、运输控制系统和其他关键基础设施系统中使用的四种工业通信协议。此类通信协议在欧洲、中东以及亚洲的基础设施系统中皆得到普遍使用。
Industroyer的设计目的在于直接获取配电站内开关及断路器设备之控制权。Industroyer可以控制几十年前设计的变电站开关和断路器,允许攻击者轻易地关闭配电,造成级联故障,甚至是对设备造成更严重的损坏。Industroyer的攻击场景Industroyer所利用的四种工业通信协议具体包括:IEC 60870-5-101、IEC 60870-5-104、IEC 61850以及OLE处理控制数据访问(简称OPC DA)。
 
该恶意程序中还包含其它几项功能,旨在确保程序自身免受安全检测方案的发现,从而实现恶意程序持久性并在相关活动完成后清除能够证明自身存在的一切痕迹。另外,其清理器模块还能够擦除系统之内的关键性注册表项并覆盖相关文件,导致系统无法启动以提升恢复工作执行难度。最后,“拒绝服务”工具模块会利用西门子SIPROTEC设备当中的CVE-2015-5374安全漏洞并导致目标设备陷入无响应状态。
Industroyer是一款高度定制化恶意程序。尽管其能够在通用状态下用于攻击使用某些常见通信协议的任意工业控制系统,但样本分析中发现的部分组件还被设计为针对一部分特定硬件。例如,清除器与其中一项payload部件专门用于攻击来自ABB集团的某些工业电力控制产品系统,而拒绝服务组件则专门针对变电站以及其它相关领域中所使用的西门子SIPROTEC设备。
由于该恶意软件确实拥有执行此类攻击的独特能力,且其激活时间戳亦为2016年12月17日——正好与乌克兰停电事件的发生时间是一天,乌克兰电网攻击事件很可能与Industroyer有关。