Industroyer可造成類似BlackEnergy的破壞效果——2015年聖誕夜烏克蘭大斷電即為BlackEnergy惡意軟件所為。該惡意軟件可能也是去年一系列攻擊的罪魁禍首,嚴重危害電力系統安全。據安全公司ESET透露,該惡意軟件還可被修改為針對其他關鍵基礎設施。
由于具備直接控制變電站開關和斷路器的能力,Industroyer是特别危險的威脅。它會利用電力供應基礎設施、交通控制系統和其他關鍵基礎設施系統(水、天然氣)中廣為使用工業通信協議,來奪取關鍵設備直接控制權。
這些開關和斷路器就是模拟開關的數字版;通常都被設計成可執行多種功能。因此,潛在影響從簡單的供電中斷到級聯故障,再到更嚴重的設備損壞都有,且可能各變電站影響不一。
Industroyer是模塊化的,其核心組件是用于管理攻擊的一個後門:安裝并控制其他組件,連接遠程服務器以接收指令并回報攻擊者。
該惡意軟件背後的作者熟悉工業控制系統(ICS)。Industroyer利用了ICS中的固有安全漏洞加以傳播。
該惡意軟件設計了多種功能以刻意保持低調,确保長期駐留,并在完成任務後清除自身痕迹。另一個模塊是利用西門子SIPROTECT設備中CVE-2015-5374漏洞進行拒絕服務(DoS)攻擊的工具,可緻目标設備無法響應。其中同樣含有痕迹清除組件。
ESET的研究人員将該惡意軟件描述為震網之後最複雜的ICS惡意軟件——震網作為網絡武器曾摧毀過伊朗核設施。
Industroyer是一款高度可定制的惡意軟件。在通用的同時,它還可以利用某些針對性通信協議攻擊任意ICS,被分析的某些樣本就是設計成針對特定硬件的。比如說,痕迹清除組件和攻擊載荷組件之一,可被定制用于針對集成了ABB工業電力控制産品的系統,而DoS組件專門針對變電站和其他相關應用領域中的西門子SIPROTECT設備。
盡管在缺乏現場事件響應的情況下很難将攻擊歸因至惡意軟件,但有極大可能性2016年12月的烏克蘭電網攻擊中使用了Industroyer。最重要的是,該惡意軟件明顯具備執行該攻擊的特殊能力,它包含有在2016年12月17日爆發的激活時間戳,那天也正是烏克蘭斷電的日子。
2016年的烏克蘭電網攻擊,緻使該國首都基輔部分地區斷電1小時。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!