据外媒 6 月 12 日报道,杀毒软件公司 ESET 研究人员发现一款新型恶意软件 Industroyer,旨在破坏工控系统( ICS )工作流程( 特别是变电站 ICS )。近期,研究人员发表详细报告并推测该恶意软件与发生在 2016 年 12 月的乌克兰变电站攻击事件有关。
Industroyer 是一款集成了后门、发射器、数据擦除工具,以及至少四个负载组件的复杂、模块化恶意软件。Industroyer 后门允许黑客在目标系统上执行各种命令。当 C&C 服务器隐藏在 Tor 网络时,黑客可通过编程将其设定为指定时间内处于活跃状态,并有效规避安全软件检测。此外,该后门除了安装用于启动数据擦除器与负载的发射器组件外,还将第二个后门伪装成恶意版本的 Windows 记事本应用程序。
数据擦除器组件用于攻击活动的最后阶段,以隐藏踪迹并使目标系统难以恢复。负载允许恶意软件控制断路器,实现工业通信协议。因此,ESET 研究人员认为恶意软件开发者对电网运营与工业网络通信有着深入了解。研究人员集中分析 Industroyer 核心组件负载(例如:IEC 60870-5-101、IEC 60870-5-104、IEC 61850与过程控制数据访问 OPCDA)后发现黑客可在发动攻击时控制目标系统断路器。
根据工控安全公司 Dragos 提供的理论攻击描述,黑客使用恶意软件 Industroyer 在 HMI 中将断路器开启命令设置为无限循环操作,导致目标系统变电站频繁出现断电现象。此外,目标设备操作人员无法通过操控 HMI 关闭断路器。为恢复正常通信,操作人员必须先用变电站扰乱通信后手动修复该问题。另外,黑客还可通过开启无限循环使断路器不断开关,触发保护机制、致使变电站关闭。
目前,ESET 与 Dragos 收集的证据均已证实,Industroyer 与 2016 年俄罗斯黑客组织 ELECTRUM 攻击乌克兰基辅地区电网事件有关。ELECTRUM 与 Sandworm APT 组织之间存在直接联系。ESET 强调,虽然这两家黑客组织在 2015 年与 2016 年乌克兰攻击活动中使用的恶意软件并无相似之处,但部分组件概念却极其相同。
详细报告请戳 →《 WIN32/INDUSTROYER:A new threat for industrial control systems 》
原作者:Pierluigi Paganini,译者:青楚,译审:游弋
from hackernews.cc.thanks for it.