友情链接:www.mosesceo.com English|联系我们
400-556-776

“Dragonfly”恶意软件锁定ICS系统
2014-11-03 16:15:20 来源:Tofino(Canada)
更多

       2010年,伊朗一核电站遭到Stuxnet攻击。从此,恶意软件明确锁定工业控制系统(ICS)为其攻击目标的时代开始了。后来,又出现了一些更为高级的恶意软件,诸如以获取能源公司谍报为目的的FlameDuqu病毒。当然,也有一些不那么复杂但影响却更大的病毒,例如大规模渗透到沙特石油公司的Shamoon恶意软件。

       今天我们来了解一种新的恶意软件。据赛门铁克称,该恶意软件是名为“Dragonfly”的黑客组织开发的,水平在Stuxnet之上,有一定的技术进步和战略执行能力。

       Dragonfly将目标锁定为能源公司,采用了至少三种不同的机制发起攻击,包括从可信任的ICS/SCADA供应商那里拦截软件下载地址并对其做手脚。这些来自可信任供应商的软件下载包看起来是合法的,但当毫无戒心的用户将其安装到自己的控制系统中时,恶意软件也随之进驻到他们的系统中。

       这与日常的ICS和SCADA安全有什么关系?其实这是另外一种对能源机构进行目标攻击的事例。如果你是能源领域的一员,亦或你的业务仰赖于其,你可能需要在安全风险评估中考虑这种网络威胁。

       让我们来更深入了解Dragonfly的细节并看看能从中学到什么。

RATs是Dragonfly恶意软件的关键部分
RATs (Remote Access Tools,远程访问工具)是Dragonfly恶意软件的关键部分

是RAT,还是Dragonfly,还是两者皆是?
       2014年6月23日,芬兰安全公司F-Secure发表了一篇博文,介绍了一种以工业领域为攻击目标的新型恶意软件。紧随其后,6月30日,赛门铁克发布的白皮书和博文中,披露了Dragonfly对广大用户的威胁(2014年5月12日,该恶意软件被相关安全知情人识别并发布到一家美国政府的警报网站,在此之前已被至少一家安全公司监视了长达一年的时间)。这些文献指出,威胁源自两种恶意软件,均为远程访问工具(Remote Access Tools),也称为RATs。

       第一种是众所周知的Havex RAT,很多报告中也会称其为Backdoor.Oldrea或Energetic Bear RAT(Havex/ Dragonfly / Energetic Bear / and Backdoor.Oldrea都指同一类型的恶意软件)。该恶意软件从Outlook地址簿和ICS相关软件文件(主要用于从被感染计算机远程访问其他工业系统)中提取数据。有些软件变种可专门寻找OPC服务器。

       Havex的一个可怕之处是,虽然已发现了很多变种(88个),但除此外还有很多相继被发现或没有被发现。该恶意软件将一些信息,诸如局域网中的设备存在信息等,发送到大量(146个)命令和控制服务器(C&C server)。就是所谓的“ICS嗅探”,可能有意在日后发起攻击。

       另一种恶意软件被称为Kragany或Trojan。Kragany允许攻击者从被感染电脑上传、下载文件,以及运行可执行文件。它还有着更为危险的特性——可以收集密码、截屏、编制文件目录。

这种恶意软件是如何进入工业自动化系统的?
       进入控制系统的方法被再次证明有很多,Dragonfly恶意软件使用了以下三种攻击向量:

       1.电子邮件——2013年2月到6月,管理人员和高级职员们成了恶意PDF附件的攻击目标。

       2.水坑式攻击——寻找能源行业从业者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。这种攻击方法始自2013年6月。

       3.从ICS相关供应商处下载的软件——2013年6到7月以及2014年1月,至少有三家ICS供应商的软件被窜改,导致其中包含了RAT恶意软件。出人意料的是, US-CERT(美国计算机应急响应中心)、赛门铁克并未识别出这三家公司来,而Kaspersky Labs在其发布的一篇报告中明确地指出了供应商和被感染产品的名称。

Dragonfly将攻击目标锁定为能源公司
Dragonfly将攻击目标锁定为能源公司并对其进行“ICS嗅探”。这意味着其从ICS/SCADA设备和网络中收集信息,蓄意进行进一步的破坏。

Dragonfly会造成什么样的破坏?
       直到今天,Dragonfly还没有对任何ICS系统造成破坏,但其已经收集的网络谍报以及持续进行的访问,可能在未来会引发破坏行为。

       “目前没有证据说明 Dragonfly组织进行任何破坏行为,但这种能力可能潜藏于其使用的工具包里,这正是故事中最可怕部分,因为他们极有可能登堂入室并制造更可怖的情景。”

       这些被锁定为攻击目标的能源公司位于美国和西欧,包括发电企业、电网运行商、石油天然气管道运营商,以及工业系统和设备供应商。

谁创造了Dragonfly?
       据信,Dragonfly组织位于东欧,极有可能由俄罗斯主导,且由政府赞助。

       “Dragonfly显示了很高的技术能力,有政府力量介入的迹象。”

       “Dragonfly组织擅长技术,而且很有策略性。从攻击目标的规模大小来看,该组织通过攻击规模小且安全性较低的公司,来寻找薄弱部位。”

       ——2014年6月30日赛门铁克的文章

对控制工程师而言,Dragonfly意味着什么?
       尽管截止目前,Dragonfly还仅仅是盗窃信息,但其以ICS设备的数据为目标的行为还是令人担忧。以此前的Stuxnet为例,在其破坏离心机操作之前,已侵入到系统中并收集相关数据长达数年。

       这也是另一个对能源公司进行复杂攻击的例子。对整个行业意味着,是时候审查并尽量加强网络安全防御了。您能及时地检测出网络入侵行为吗?您是否在适当的位置部署了纵深防御安全措施来应对这些攻击?

       在接下来的文章中,我将讨论怎样检测和阻止诸如Dragonfly之类的恶意软件,以及我们的产品和服务将对此发挥什么样的作用。

返回顶部
上一篇:黑客词库:何谓“零日攻击” 下一篇:Digital Bond测试结果表明Tofino..