Industroyer去年袭击乌克兰电网?这可能是震网之后最危险的工控恶意程序

发表于:2017-06-15 10:14:55 来源:  FreeBuf.COM 阅读数(0人)

2016年12月发生过一起针对乌克兰电网的黑客袭击事件,造成其首都基辅断电超一小时,数百万户家庭被迫供电中断。

最近安全专家经调查发现,侵入乌克兰工控系统的罪魁祸首可能是——Win32 / Industroyer。位于斯洛伐克的安全软件制造商 ESET 以及美国关键基础设施公司 Dragos Inc. 表示,他们检测出的这个恶意程序能够控制关键工业控制系统,引发大规模停电,造成设施损害,甚至其他更大的危害。




这款名为 Industroyer 或者 CrashOverRide 的恶意程序,很可能被用在上起电力设施攻击事件中,这也代表了黑客入侵关键基础设施技术的新发展。


此次的 Industroyer 很可能是自 2009年 Stuxnet 以来对工控系统而言,最具威胁性的恶意程序。

——ESET安全专家

安全威胁及侵入方法


Industroyer 引发的安全威胁是非常特别的


因为这个恶意软件使用的是全球范围内的的工业通讯协议(包括电力供应基础设施、运输控制系统和其他关键基础设施系统如水、天然气的协议),它最终会涉及对各地变电站的能源开关及断路器的控制。可以说,它可能造成的安全威胁范围广,影响大。


这些能源开关以及断路器实际上是个数字化开关。从技术实现的角度说,这些开关和断路器可以实现各种多样化功能。因此,恶意程序对其影响可能是简单的关闭配电,引起多个层级的错误,甚至到对整体设施的各种损害。损害的严重程度因变电站而异,但这种破坏会直接或间接地影响重要服务的正常运作。




Industroyer 利用工控通讯协议进行侵入


由于工控协议本身是在数十年前设计的,而当时的工业系统与外部世界隔绝,因此工业界制定通信协议时并没有考虑安全性。这意味着攻击者不需要寻找协议漏洞,他们需要的只是教会恶意软件“使用“这些协议进行通讯。


最近一次的断电事件发生在2016年12月17日,距离上起2015年12月乌克兰断电事件超过已经经过了1年的时间。曾经,犯罪分子使用恶意程序 BlackEnergy 渗透电力网络,再使用 KillDisk 等其他恶意组件,远程控制操作者的工作区实施切断电力的操作。而现在使用的 Industroyer 与先前的 BlackEnergy 相比,除了都针对的是乌克兰电网,它们的代码中并没有其他明显的相似性。


结构设计及关键功能


和 Stuxnet 蠕虫不同,Industroyer 恶意程序并不利用 0day 漏洞,它只是利用国际通用的四种工业通讯协议(运用在能源、运输等其他重要基础设施系统中)来实现恶意活动。


通过核心的后门程序,攻击者可以对攻击行为进行管理:安装和控制其他组件,连接到远程服务器来接受指令,并返回信息给攻击方。Industroyer有四个 payload 组件,用于直接获取对于变电站开关和断电器的控制。每个组件都针对了一种特定的通讯协议:IEC 60870-5-101, IEC 60870-5-104, IEC 61850 和 OLE(OPCDA)。Payload 会在目标映射网络的阶段工作,然后寻找并发出与特定工业控制设备配合使用的命令。




恶意程序具备逃避检测的能力。为了确保恶意程序的持续性,它还会在完成任务后进行痕迹清理。程序与 Tor 中的 C&C 服务器通讯会限制在非工作时间进行。当主后门程序不能正常工作时,它还会调用另外一个后门程序——将其伪装成 Notepad 应用程序——用以重新获取目标网络的权限。其中 wiper 组件可以用来擦除系统关键位置的注册表项并覆盖文件,来使系统无法启动,且让系统恢复过程变得艰难。而最后一个组件DoS工具,则会利用西门子 SIPROTEC 设备中的 CVE-2015-5374 漏洞,使目标设备无法响应请求。


事件小结


目前在工控安全中,已经发现四种恶意程序,分别为Stuxnet, BlackEnergy, Havex 和现在的 Industroyer。其中 Stuxnet 与 Industroyer 均属于蓄意破坏性的程序,均以破坏电力控制设备实现断电为目标。


乌克兰电网遭遇黑客袭击事件在2016年再次发生,获得的关注尽管比2015年的少了许多,但此次发现的 Industroyer 变得比之前出现的恶意程序更先进,攻击者看来似乎不仅有着坚定的决心,还有着较强的能力。


Industroyer 恶意程序的 payload 设计也显示出制作者所掌握的知识深度和对工控系统的透彻理解。

——ESET 研究员

我们可以看到,Industroyer可以潜藏在系统中按照攻击者的意愿调整 payload ,这种具备高适应性的恶意程序会是极其危险的。


简而言之,这起事件应该为全球其他关键基础设施的系统安全敲响警钟!


参考材料:ETST白皮书 和 github


相关新闻

大家都在学

课程详情

信息安全基础

课程详情

网络安全漫谈

课程详情

网络安全基础