工控系统再现“震网”式攻击
作者: 日期:2014年07月03日 阅:6,478

ICS

2010年, 美国和以色列通过“震网”病毒攻击了伊朗位于纳坦兹的核工厂, 从那以后, 工业控制系统作为黑客攻击目标第一次引起了人们的重视, 不久前, 芬兰的安全研究公司F-Secure由发现了一系列针对工控系统的木马攻击。

安全研究人员目前发现了一系列针对SCADA和ICS工控系统软件的木马程序。 目前主要的攻击目标在欧洲, 不过, 在一家美国公司的工控系统也发现了控制木马。

遭受攻击的欧洲公司包括两个法国的从事技术相关的教育研究机构, 两家德国的工业应用及机械制造商, 一家法国的机械制造商以及一家俄罗斯的建筑企业。

从2014年初, 一个名为Havex远程控制木马(HavexRAT)被放到一些ICS和SCADA厂商的网站上, 企图感染那些安装ICS/SCADA软件的计算机上。

F-Secure的研究人员采集并分析了Havex RAT的88个变种。 这些木马用来针对目标网络或者设备获取权限或者盗取数据。 研究人员同时也分析了146个这些木马背后的命令与控制服务器。并且追溯到了这些木马试图感染的1500个IP地址。

这些恶意木马的主要功能就是从SCADA或者ICS中受感染的机器中盗取数据。 F-Secure认为这说明背后的攻击者在有步骤地试图控制这些SCADA/ICS网络。 而不是利用SCADA或者ICS网络来入侵公司的办公网络。 如果木马在网络中建立起后门, 那么接下来攻击者就会通过这个后门发送新的木马来执行下一步行动。

木马背后的攻击者主要利用一些已经被入侵的第三方网站(主要是博客网站)做为命令与控制服务器来控制这些木马。

Havex RAT可以通过垃圾邮件, 或者一些漏洞进行传播, 不过更主要通过入侵SCADA或ICS厂商的网站把木马直接通过厂商的安装程序进行传播。

F-Secure的研究人员Daavid Hentunen 和Antti Tikkanen 在博客中说“看来攻击者是利用了这些公司网站软件的一些漏洞入侵了公司网站, 把原来的安装包替换成了装有木马的安装包。”

F-Secure发现了三家SCADA/ICS软件商的网站被入侵成为木马传播的渠道。 这三家公司分别是一家德国公司, 一家瑞士公司和一家比利时公司,其中两家提供工控网的远程控制管理软件, 另一家是一家高精度工业照相设备及软件的提供商。 当然, 可能还有其他一些工控系统制造商的网站也已经被入侵来作为木马传播渠道。

“躲在Havex后面得攻击者通过一种在工控系统软件安装包中植入木马这样聪明的方式来进行工业间谍活动。 这是一种获取权限的有效方式。 这种攻击的目标可能还会包括一些重要基础设施。” F-Secure分析说。

“通过被入侵网站的服务器来做命令与控制服务器是这个黑客团伙的常见方式。 这个团伙对命令与控制服务器的管理并不是非常专业。 这显示了他们对于运营大型僵尸网络的经验并不太多。 我们监控了连接到这些命令和控制服务器的受感染的机器。“F-Secure的报告中写道,”对于已经感染了木马的工控设备继续发送新的木马去获取更多的信息显示了黑客们的兴趣在于对工控网络的控制。”

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章