搜索 收起
您的位置  > 互联网

最新工控系统恶意软件工具可通过网络远程攻击

chanong 发布于 2024-02-01 01:01:47 阅读()

说到工控系统恶意软件,人们首先会想到病毒(震网病毒),它是第一个直接攻击OT网络的病毒。 然而,震网之后,大量新型恶意软件涌现,对工业控制系统构成严重威胁。

近年来,针对工业控制系统的恶意软件变得更加复杂且易于使用。 最初的 病毒需要 USB 闪存驱动器才能渗透伊朗设施,但最新的工业恶意软件工具可以通过互联网进行远程攻击。

“较新的 OT 恶意软件可以通过 OT 网络上的中间系统进行远程部署,使攻击者更方便地使用它来攻击目标。” 安全研究人员 Zafra 指出:“较新的工业控制系统恶意软件更加灵活,可以进行定制修改,以便针对多个目标进行部署。”

首席安全研究员Deral指出,针对工业控制系统的新恶意软件往往会利用目标ICS/SCADA环境以及相关管理和控制协议的正常功能。 攻击者对曾经相对孤立和晦涩的 ICS/SCADA 通信协议(例如 ICS 和 ICS)有了更好的了解,并利用这些知识来开发更复杂的工具。

以下是继震网之后用于攻击工业控制系统的前五名恶意软件:

1,/

/ 用于 2017 年对沙特阿拉伯炼油厂的攻击。 该恶意软件针对施耐德电气安全仪表系统 (SIS) 设备的多种型号,炼油厂使用这些设备来监控工厂管理和硫回收系统。 如果恶意软件按预期工作,可能会导致设施内爆炸并释放危险气体。 但施耐德电气 SIS 设备上的安全控制检测到攻击者试图安装恶意软件,并触发了整个炼油厂的自动关闭。

/专为炼油厂的施耐德安全仪表系统而设计。 因此,当时评估该恶意软件不会对其他施耐德电气客户环境构成威胁。 但评估称,攻击者在攻击中使用的策略、技术和程序可能会被其他人复制。

该恶意软件被发现具有多种功能,包括读写程序以及查询施耐德SIS控制器的状态; 向控制器发送特定命令,例如“停止”; 并使用恶意负载对它们进行远程重新编程。

扎弗拉透露:“它之所以特别危险,是因为它以安全系统为目标,这意味着可能有物理摧毁它们的意图。” 他说,该恶意软件针对特定资产,这些资产通过几乎没有文档的方法传递。 使用专有协议进行通信,这意味着攻击者可能需要对工业控制设备进行逆向工程才能开发恶意软件。

2,/

/ 是最近发现的专门攻击工业控制系统的恶意软件威胁。 美国网络安全和基础设施安全局(CISA)等机构已确定该恶意软件对液化天然气和电力供应商等能源机构和组织构成严重威胁。

是恶意软件的跟踪代号,其中包含三个恶意软件工具,针对施耐德电气和欧姆龙的可编程逻辑控制器 (PLC) 以及基于开放平台通信统一架构 (OPC UA) 的任何服务器。 攻击者可以使用此恶意软件对目标工业环境进行侦察并控制 PLC,从而造成破坏,从而导致工厂中断、安全故障和潜在的物理灾难。

值得注意的是,/ 没有利用任何漏洞来危害目标系统。 相反,它使用两种常见的工业协议与 PLC 进行通信和交互。 据称,该恶意软件利用本机功能的能力使其难以在工业环境中检测到,该公司已为该恶意软件分配了代号 . 该恶意软件被归因于可能位于俄罗斯的威胁组织。

/ 的三个主要组件是: 从 OPC 环境扫描和收集数据的工具; 一个可以传递、识别其他基于PLC的设备并与之交互的框架; 以及专门设计用于通过 HTTP 攻击 Omron 设备的工具。

目前,这三个威胁正在被追踪。

高级技术分析经理 Zafra 指出:“只需利用已知协议中的现有资产和本机功能即可进行通信,而无需开发复杂的漏洞。” “本质上,它表明攻击者可以仅使用设备/网络的本机功能来改变工业控制系统的物理过程。”

3./

(也称为)被认为是第一个已知的仅针对电网的恶意软件。 安全研究人员首次观察到该恶意软件是在 2016 年 12 月对乌克兰电网的一次攻击中部署的。这次攻击导致基辅部分地区停电一小时。 一些安全供应商将恶意软件归咎于俄罗斯 APT 组织()。

该恶意软件的一个显着特点是它不针对任何特定技术(工业控制设备),并且不利用任何漏洞。 相反,它使用本机 ICS 通信协议与工业系统交互,攻击者以不触发任何警报的方式向它们发出恶意命令。

根据ESET等公司的分析,它由四个分阶段工作的有效负载组件组成,首先绘制目标环境并识别用于控制高压开关和断路器的控制变电站。

本月早些时候,乌克兰计算机紧急响应小组 (CERT-UA) 挫败了对乌克兰电网的一次新的沙虫攻击,该攻击使用了新的定制版本的攻击,其中仅包含四个原始版本。 有效载荷之一。

,并且其设计方式使得它们可以用于不同的攻击场景。 扎弗拉指出:“它们可以针对多个受害者进行部署,因为它们能够在特定范围内定制攻击,例如它们使用的通信协议。”

4.

最初是用于 DDoS 攻击以及下载垃圾邮件和恶意软件的恶意软件。 该恶意软件最著名的“用例”是 2015 年 12 月对乌克兰一家电力公司的网络攻击,导致 30 个变电站断电,引发了长达 6 小时的停电,影响了大约 100 个城市。 研究人员将此次攻击归咎于俄罗斯 APT 组织 。

在这次攻击中,黑客入侵了电力公司的人机界面(HMI)系统,并利用它来操纵断路器引发停电。 分析此次攻击的研究人员在受感染的电力公司网络上发现了名为 Wiper 的擦除器的证据。 但业界仍不确定其在引发停电中所扮演的角色。

事实上,它是 攻击链的一部分,随后被用于攻击乌克兰矿业公司和铁路运营商,这意味着它对世界各地的工业控制系统环境构成了威胁。 根据美国网络安全和基础设施安全局 (CISA) 的分析,至少自 2011 年以来,涉及美国和其他地方工业控制系统环境的攻击就一直在发生。 CISA 确定了几家作为目标的 HMI 产品供应商,包括 GE、GE 和/.

5.哈维克斯

Havex 是一种远程访问特洛伊木马 (RAT),由俄罗斯 APT 组织(也称为 Bear)于 2014 年首次发现,用于攻击能源部门组织中部署的 ICS/SCADA 系统。 最初,Havex 用于从受感染的系统和系统运行的环境中收集数据。

趋势科技的分析显示,Havex 还可以下载并执行额外的代码,这些代码可以查找并连接到基于开放平台通信 (OPC) 架构的服务器,并收集随后可用于危害设备的信息。

许多使用 Havex 的早期攻击都针对能源行业的公司,并且似乎旨在环境侦察。 该组织主要通过网络钓鱼电子邮件和侵入工业控制系统软件提供商的网站并将恶意代码植入其产品中来传播 Havex。

2017 年,赛门铁克和其他公司报告称,观察到黑客在攻击中部署 Havex 恶意软件,旨在完全控制美国、瑞士和土耳其能源部门组织的操作系统。 安全供应商确定这些攻击至少自 2015 年 12 月以来一直在持续,并为攻击者提供了对控制电力设施关键设备的系统的完全访问权限。

美国政府在上个月公布的 2021 年 8 月起诉书中指控俄罗斯联邦安全局的三名官员参与了此次袭击。 起诉书显示,攻击者利用后门攻击了众多公司,包括电力传输公司、公用事业公司、石油和天然气供应商以及核电运营商。 根据该报告,Havex 木马已安装在美国和世界其他地区组织的约 17,000 台设备上。

标签:
打赏 点赞( )

相关文章