Industroyer可造成类似BlackEnergy的破坏效果——2015年圣诞夜乌克兰大断电即为BlackEnergy恶意软件所为。该恶意软件可能也是去年一系列攻击的罪魁祸首,严重危害电力系统安全。据安全公司ESET透露,该恶意软件还可被修改为针对其他关键基础设施。
由于具备直接控制变电站开关和断路器的能力,Industroyer是特别危险的威胁。它会利用电力供应基础设施、交通控制系统和其他关键基础设施系统(水、天然气)中广为使用工业通信协议,来夺取关键设备直接控制权。
这些开关和断路器就是模拟开关的数字版;通常都被设计成可执行多种功能。因此,潜在影响从简单的供电中断到级联故障,再到更严重的设备损坏都有,且可能各变电站影响不一。
Industroyer是模块化的,其核心组件是用于管理攻击的一个后门:安装并控制其他组件,连接远程服务器以接收指令并回报攻击者。
该恶意软件背后的作者熟悉工业控制系统(ICS)。Industroyer利用了ICS中的固有安全漏洞加以传播。
该恶意软件设计了多种功能以刻意保持低调,确保长期驻留,并在完成任务后清除自身痕迹。另一个模块是利用西门子SIPROTECT设备中CVE-2015-5374漏洞进行拒绝服务(DoS)攻击的工具,可致目标设备无法响应。其中同样含有痕迹清除组件。
ESET的研究人员将该恶意软件描述为震网之后最复杂的ICS恶意软件——震网作为网络武器曾摧毁过伊朗核设施。
Industroyer是一款高度可定制的恶意软件。在通用的同时,它还可以利用某些针对性通信协议攻击任意ICS,被分析的某些样本就是设计成针对特定硬件的。比如说,痕迹清除组件和攻击载荷组件之一,可被定制用于针对集成了ABB工业电力控制产品的系统,而DoS组件专门针对变电站和其他相关应用领域中的西门子SIPROTECT设备。
尽管在缺乏现场事件响应的情况下很难将攻击归因至恶意软件,但有极大可能性2016年12月的乌克兰电网攻击中使用了Industroyer。最重要的是,该恶意软件明显具备执行该攻击的特殊能力,它包含有在2016年12月17日爆发的激活时间戳,那天也正是乌克兰断电的日子。
2016年的乌克兰电网攻击,致使该国首都基辅部分地区断电1小时。
本文转自d1net(转载)
