”蜻蜓“来袭, 全球能源行业工控系统遭受安全威胁
作者:星期三, 七月 9, 20140

DragonflyICS

本站前几天介绍了F-Secure发现了对工控系统的最新攻击。 最近, 安全公司赛门铁克在其公司博客上对这一个代号为“蜻蜓”的黑客团伙进行了较详细的披露, ”蜻蜓“团伙利用木马程序, 攻击了一些国家的能源行业企业, 进行信息采集, 并且具备了远程发起其他攻击的能力。

”蜻蜓“的主要攻击目标包括电网, 发电企业, 石化管道运营商, 以及能源设备制造商。 主要的受害目标位于美国, 西班牙, 意大利, 德国, 土耳其以及波兰。

figure1_9

“蜻蜓”团伙采用了一系列恶意软件攻击, 其攻击手段也很丰富。 最厉害的是通过具备远程控制能力的木马感染工控系统设备制造商的软件, 使得安装这些软件的运营商的工控设备的电脑在进行软件更新时感染。 这种方式不但使得“蜻蜓”团伙能够在较短的时间内进入目标的工控网络, 而且使得他们在需要的时候能够对这些电脑发起攻击。

这些类型的攻击与“震网”类似, 不过“震网”只是攻击特定的目标, 是以破坏为主要目的的。 而“蜻蜓”看起来目标范围更广, 目前的目的主要是信息收集以及维持后门在需要的时候再发起攻击。

 

除了入侵工控系统软件外, “蜻蜓”团伙也采用垃圾邮件和钓鱼等方式对目标企业进行攻击。 他们采用两种主要的恶意攻击”Backdoor.Oldrea” 和”Trojan.Karagany..”。 其中,“Backdoor. Oldrea” 是一个专门的恶意软件, 可能是“蜻蜓”自己写的或者其他黑客专为“蜻蜓”定制的。

 

“蜻蜓“团伙,也有些安全厂商管它叫”活力熊“(Energetic Bear), 从可监测到的记录来看,是从2011年开始活跃的团伙。 在2013年初转向欧美的能源企业之前, ”蜻蜓“之前的目标主要是美国和加拿大的军工和航空业的企业。

 

最初”蜻蜓“的攻击手法只是向这些企业的人员发送带有钓鱼链接的垃圾邮件。 很快, ”蜻蜓“开始采取”浇水洞”攻击, 首先入侵这些企业人员经常访问的网站, 把访问重定向到黑客控制的带有木马的网站, 从而把恶意软件植入这些企业人员的电脑。 最后, 把木马绑定在不同工控系统设备制造商的软件上。

 

从“蜻蜓”的攻击技术来看, 很像是由国家组织的痕迹。 这一团伙的技术能力很强, 能够通过不同的安全层面进行攻击, 在整个攻击过程中, 入侵了无数的第三方站点。 “蜻蜓”对能源行业的攻击已经持续了一段很长的时间了。 目前的主要目的看来是进行网络情报收集, 同时保持需要攻击时的攻击能力。 通过对恶意软件编译的时间戳分析, 这个团伙主要是在周一到周五工作。 每天活跃时间从上午9点到下午6点, 活动时区位于东4区。 据此推断, 这些团伙成员应该是来自东欧。

 

工具

”蜻蜓“在攻击时利用两个主要工具, 这两个工具都是远程访问工具类的恶意软件。 使得黑客能够远程访问和控制被攻击的电脑。 ”蜻蜓“最常用的工具是 Backdoor.Oldrea, 这也被称为Hayex”或者“活力熊远控” 这个恶意软件看来是定制的, 这样显示了”蜻蜓“团伙的技术能力。

 

在进入目标电脑后, Backdoor.Oldrea就会开始收集系统信息, 文件列表, 已安装程序, 以及驱动器的根目录等等。 它还从电脑的Outlook地址本以及VPN的配置文件中提取数据。 这些数据随后以加密形式写入一个临时文件, 然后发送给远程的命令与控制服务器。

 

命令与控制服务器大部分是通过入侵一些运行内容管理系统的服务器或则的。 这显示“蜻蜓”可能是利用了内容管理系统的某一个漏洞从而入侵到每台服务器上去的。 Backdoor.Oldrea有一个简单的控制面板可以使得黑客能够对每台入侵的电脑下载加密压缩的数据文件。

 

“蜻蜓”利用的另一个主要工具是“Trojan.Karagany.” 这个软件在网络黑市上可以购买到。 而1.0版本的源代码在2010年就已公布。 赛门铁克认为“蜻蜓”在获取了源代码以后对其进行了修改。 这个恶意软件具有数据上传, 下载以及在目标机器运行可执行代码的能力。 此外, 它还能够运行一些如密码收集, 屏幕截图,以及文件分类之类的插件。 目前大部分受感染的机器感染的都是“Backdoor.Oldrea”, 只有大于5%的机器感染了 Trojan.Karagany。 这两个恶意软件的功能很类似, 目前尙不清楚为什么“蜻蜓”要选择两个恶意工具。

 

攻击手法

“蜻蜓”至少采取了三种攻击方式来对目标进行感染。 最早期是利用电子邮件, 通过给目标企业的特定的高官发送带有恶意代码的PDF附件, 所有的邮件全部来自于一个Gmail地址。

 

2013年下半年, “蜻蜓”开始采用“浇水洞”攻击的方式。 通过入侵一系列能源相关的网站。 注入一个iFrame , 从而把访问用户重定向到另外一个被入侵的网站, 这个网站有一个名为Lightsout 的漏洞工具。 可以利用Java或者IE的漏洞, 把Backdoor.Oldrea或者 Trojan.Karagany注入用户的电脑。 而在攻击进行的每一步, “蜻蜓”都能够入侵大批网站, 这也足以证明了“蜻蜓”拥有相当的技术能力。

 

从2013年9月, “蜻蜓”开始采用一个名为“Hello”的新版漏洞工具。 这个工具的页面包括了一段能够获取系统信息和已安装插件的Javascript代码, 随后可以根据用户机器的漏洞, 把用户重定向到针对不同漏洞的URL去。

 

”蜻蜓“更厉害的攻击手段是通过入侵一些合法软件包。 赛门铁克发现有三个工控设备制造商受到了攻击。 黑客把恶意软件注入到他们在网站上提供下载的软件包里。 这三家工控设备制造商的产品在很多行业中都在使用, 其中包括能源行业。

 

第一个被发现有注入恶意软件的软件包是一个提供对PLC设备进行VPN访问的软件。 工控设备厂商很快发现了软件包被注入, 但是已经有250个人下载了含有恶意软件的产品了。 另外一个厂商是一个生产专用PLC设备的欧洲厂商。 在它的软件包里的一个专用PLC的驱动被注入了恶意软件。 赛门铁克估计在被发现前, 该软件放在网站上供下载已经有6周时间了。 第三个厂商是一个欧洲生产针对风力发电, 生物燃料, 以及其他能源基础设施的管理系统的厂商。 这家厂商的被注入恶意软件的产品可能在网上有10天的下载时间。

 

”蜻蜓“的这一招很聪明, 由于目标企业往往是重要基础设施企业, 安全管理相对严格, 因此, ”蜻蜓“转而去攻击那些安全管理和安全防护相对不那么严的供应商。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章