直接控制变电站开关的恶意软件 疑与乌克兰断电有关

Industroyer可造成类似BlackEnergy的破坏效果——2015年圣诞夜乌克兰大断电即为BlackEnergy恶意软件所为。该恶意软件可能也是去年一系列攻击的罪魁祸首，严重危害电力系统安全。据安全公司ESET透露，该恶意软件还可被修改为针对其他关键基础设施。

由于具备直接控制变电站开关和断路器的能力，Industroyer是特别危险的威胁。它会利用电力供应基础设施、交通控制系统和其他关键基础设施系统(水、天然气)中广为使用工业通信协议，来夺取关键设备直接控制权。

这些开关和断路器就是模拟开关的数字版;通常都被设计成可执行多种功能。因此，潜在影响从简单的供电中断到级联故障，再到更严重的设备损坏都有，且可能各变电站影响不一。

Industroyer是模块化的，其核心组件是用于管理攻击的一个后门：安装并控制其他组件，连接远程服务器以接收指令并回报攻击者。

该恶意软件背后的作者熟悉工业控制系统(ICS)。Industroyer利用了ICS中的固有安全漏洞加以传播。

该恶意软件设计了多种功能以刻意保持低调，确保长期驻留，并在完成任务后清除自身痕迹。另一个模块是利用西门子SIPROTECT设备中CVE-2015-5374漏洞进行拒绝服务(DoS)攻击的工具，可致目标设备无法响应。其中同样含有痕迹清除组件。

ESET的研究人员将该恶意软件描述为震网之后最复杂的ICS恶意软件——震网作为网络武器曾摧毁过伊朗核设施。

Industroyer是一款高度可定制的恶意软件。在通用的同时，它还可以利用某些针对性通信协议攻击任意ICS，被分析的某些样本就是设计成针对特定硬件的。比如说，痕迹清除组件和攻击载荷组件之一，可被定制用于针对集成了ABB工业电力控制产品的系统，而DoS组件专门针对变电站和其他相关应用领域中的西门子SIPROTECT设备。

尽管在缺乏现场事件响应的情况下很难将攻击归因至恶意软件，但有极大可能性2016年12月的乌克兰电网攻击中使用了Industroyer。最重要的是，该恶意软件明显具备执行该攻击的特殊能力，它包含有在2016年12月17日爆发的激活时间戳，那天也正是乌克兰断电的日子。

2016年的乌克兰电网攻击，致使该国首都基辅部分地区断电1小时。

本文转自d1net（转载）