提到工控系统恶意软件,人们首先会想第一个能直接攻击OT网络的震网病毒(Stuxnet),但是震网病毒之后,又涌现大量新型恶意软件,对工控系统构成严重威胁。
近年来,针对工控系统的恶意软件正变得更加复杂且易用。最初的震网病毒需要通过U盘来潜入伊朗设施,但最新的工控恶意软件工具可通过网络远程攻击。
“较新的OT恶意软件可以通过跨OT网络的中间系统远程部署,使攻击者更方便地使用它来对付目标。”Mandiant的安全研究人员Kapellmann Zafra指出:“新的工控系统恶意软件更加灵活,可以定制修改,以针对多个目标进行部署。”
Rapid7的首席安全研究员Deral Heiland则指出,针对工控系统的新型恶意软件通常利用目标ICS/SCADA环境的正常功能以及相关的管理和控制协议。攻击者对曾经相对闭塞和晦涩的ICS/SCADA通信协议(例如Codesys和Profinet)有了更好的理解,并正在利用这些知识开发更复杂的工具。
以下是震网病毒之后,专为攻击工控系统而设计的五大恶意软件:
1、Triton/TriSIS
Triton/Trisis被用于2017年针对沙特阿拉伯炼油厂的攻击。该恶意软件针对施耐德电气的安全仪表系统(SIS)Triconex的多个型号的设备,这些设备被炼油厂用于监控工厂的管理和硫回收系统。如果恶意软件按预期工作,它可能会引发爆炸和设施内危险气体的释放。但施耐德电气SIS设备上的安全控制发现了攻击者安装恶意软件的尝试,并触发了整个炼油厂的自动关闭。
Triton/Trisis针对炼油厂的施耐德安全仪表系统而设计。因此,Dragos当时评估该恶意软件不会对施耐德电气的其他客户环境构成威胁。但Dragos评估说,攻击者在攻击中使用的策略、技术和程序会被其他人复制。
Mandiant发现该恶意软件有多种功能,包括读写程序和查询施耐德SIS控制器的状态;向控制器发送特定命令,例如“停止”;并使用恶意负载远程重新编程它们。
Mandiant的Kapellmann Zafra透露:“Triton之所以特别危险,是因为它针对的是安全系统,这意味着可能存在物理破坏的意图。” 他说,该恶意软件针对特定的资产,此类资产通过一种几乎没有记录的专有协议进行通信,这意味着攻击者可能需要对工控设备进行逆向工程来开发恶意软件。
2、Incontroller/PipeDream
Incontroller/PipeDream是最近才发现的专门攻击工控系统的恶意软件威胁。美国网络安全和基础设施安全局(CISA)等机构已确定该恶意软件对液化天然气和电力供应商等能源机构和组织构成严重威胁。
Incontroller是Mandiant给该恶意软件的跟踪代号,包含三个恶意软件工具,针对施耐德电气和欧姆龙的可编程逻辑控制器(PLC)以及任何基于开放平台通信统一架构(OPC UA)的服务器。攻击者可使用该恶意软件对目标工业环境进行侦察,并控制PLC,实施可能导致工厂中断、安全故障和潜在物理灾难的破坏活动。
值得注意的是,Incontroller/PipeDream并未利用任何漏洞来破坏目标系统。相反,它使用Modbus和Codesys这两种常见的工业协议与PLC进行通信和交互。据Dragos称,该恶意软件利用本机功能的能力使其难以在工业环境中被发现,该公司给该恶意软件分配的代号是PipeDream。Dragos将该恶意软件归因于一个可能位于俄罗斯的威胁组织,称之为Chernovite。
Incontroller/PipeDream的三个主要组件是:一个从OPC环境中扫描和收集数据的工具;一个可以通过Modbus和Codesys识别Schneider和其他基于Modbus的PLC并与之交互的框架;以及专门设计用于通过HTTP和Telnet攻击Omron设备的工具。
目前,Mandiant正在跟踪Tagrun、Codecall和Omshell这三种威胁。
Mandiant高级技术分析经理Kapellmann Zafra指出:“Incontroller只需利用现有资产和已知协议中的本机功能进行通信,而无需开发复杂的漏洞利用。”“从本质上讲,它表明攻击者可以只使用设备/网络的本机功能来改变工控系统的物理流程。”
3、Industroyer/CrashOverride
Industroyer(也称为CrashOverride)被认为是第一个已知的仅针对电网的恶意软件。在2016年12月对乌克兰电网的攻击中,安全研究人员首次观察到该恶意软件被部署。攻击导致基辅部分地区停电一小时。多家安全厂商将该恶意软件归因于俄罗斯APT组织Sandworm(沙虫)。
该恶意软件的一个显著特点是不针对任何特定技术(工控设备),也不利用任何漏洞。相反,它使用本地ICS通信协议与工业系统进行交互,攻击者以不会触发任何警报的方式向它们发出恶意命令。
根据ESET和Dragos等公司的分析,Industroyer由四个有效负载组件组成,这些组件分阶段工作,首先映射目标环境,并找出用于控制高压开关和断路器的控制变电站。
本月早些时候,乌克兰的计算机应急响应小组(CERT-UA)挫败了沙虫组织对乌克兰电网的新一轮攻击,这次攻击中使用了定制化的新版本Industroyer2,其中仅包含原始版本四个有效载荷之一。
Industroyer、Industroyer2和Incontroller的设计方式使其可用于不同的攻击场景。Mandiant的Kapellmann Zafra指出:“它们可以针对多个受害者部署,因为它们具有在特定边界内定制攻击的能力——例如它们使用的通信协议。”
4、BlackEnergy
BlackEnergy最初是用于DDoS攻击以及下载垃圾邮件和恶意软件的恶意软件。该恶意软件最出名的“用例”是2015年12月对乌克兰电力公司Prykarpattya Oblenerg的网络攻击,该攻击导致30个变电站断电,引发了长达6小时的大停电,影响了大约100个城市。研究人员将这次攻击归因于俄罗斯的APT组织“沙虫”。
在这次攻击中,黑客入侵了电力公司基于Windows的人机界面(HMI)系统,并用它来操纵断路器以触发断电。分析这次攻击的研究人员发现了BlackEnergy的证据,并在受感染的电力公司的网络上发现了一个名为KillDisk的擦除器。但目前业界对于BlackEnergy在引发停电中所起的作用依然没有定论。
事实上,BlackEnergy是“沙虫”攻击链的一部分,随后又被用于对乌克兰矿业公司和铁路运营商的攻击,这意味着其对全球各地的工业控制系统环境都构成威胁。根据美国网络安全和基础设施安全局(CISA)的分析,至少自2011年以来,美国和其他地方的工控系统环境中涉及BlackEnergy的攻击一直在发生。CISA确定了几家被BlackEnergy瞄准的供应商的HMI产品,包括Siemens、GE和Advantech/Broadwin。
5、Havex
Havex是一种远程访问木马(RAT),俄罗斯APT组织Dragonfly(又名Energetic Bear)于2014年首次被观察到用该木马攻击部署在能源部门组织中的ICS/SCADA系统。最初,Havex被用于从受感染的系统和系统运行的环境中收集数据。
趋势科技的一项分析表明,Havex还可以下载并执行其他代码,这些代码可以查找并连接到基于开放平台通信(OPC)架构的服务器,并收集以后可能用于破坏设备的信息。
Dragonfly使用Havex的许多早期攻击都针对能源领域的公司,目的似乎是为了侦察环境。该组织分发Havex的方法主要是通过网络钓鱼电子邮件和入侵工控系统软件提供商的网站并在其产品中植入恶意代码。
2017年,赛门铁克和其他公司报告观察到黑客在攻击中部署Havex恶意软件,旨在完全控制美国、瑞士和土耳其能源部门组织的操作系统。安全厂商确定这些攻击至少从2015年12月开始就一直在进行,并为攻击者提供了对控制电力设施关键设备的系统的完全访问权限。
美国政府在2021年8月的一份起诉书(上个月公开)中指控俄罗斯联邦安全局的三名官员参与了攻击。起诉书显示,攻击者通过后门攻击了众多公司,包括电力传输公司、公用事业公司、石油和天然气供应商以及核电运营商。根据报告,Dragonfly在美国和全球其他地方的组织中累计大约17000台设备上安装了Havex木马。
来源:GoUpSec
,