工控信息安全再预警 Havex袭击欧洲SCADA系统

2014071710023649.jpg

近来发现了一种新的类似震网病毒的恶意软件,并将其命名为:Havex,早先这种恶意软件已被用在很多针对能源部门的网络攻击中。

就像著名的专门设计用来破坏伊朗核项目的Stuxnet蠕虫病毒,Havex也是被编写来感染SCADA和工控系统中使用的工业控制软件,这种木马可能有能力禁用水电大坝、使核电站过载、甚至可以做到按一下键盘就能关闭一个国家的电网。

安全厂商F-Secure首先发现这种木马并将其作为后门命名为W32/Havex.A,F-Secure称它是一种通用的远程访问木马(RAT,即
remoteaccessTrojan),近来被用于从事工业间谍活动,主要攻击对象是欧洲的许多使用和开发工业应用程序和机械设备的公司。

SMARTY PANTS,TROJANIZED INSTALLERS 要做到这点,除了诸如利用工具包和垃圾邮件等传统感染方式外,网络罪犯们还会使用另一种有效的方法传播Havex,例如:渗透目标软件公司的Web站点,并等待目标安装那些合法APP的感染木马的版本。

在安装过程中,该木马软件释放一个叫做”mbcheck.dll”的文件,这个文件实际上就是攻击者用作后门的Havex恶意代码。”C&C
服务器将会指示被感染的计算机下载并执行其他组件”,F-Secure称,”我们收集和分析了Havex
RAT的88个变种,这些变种被用来从目标网络和机器获取权限并搜集大量数据。这份分析报告包括了对与那些变种有关的146个C&C服务器的调
查,这些服务器涉嫌试图通过追踪大约1500个IP地址来定位目标受害者”。F-Secure没有指出被影响厂商的名字,但比较针对法国的一个工业机械制
造商和两个教育机构和德国的很多公司。信息搜集Havex RAT配备了一个新的组件,其目的是通过利用OPC(开放平台通信)标准来收集网络和联网设备的信息。

工控信息安全再预警 Havex袭击欧洲SCADA系统

     OPC
是一种通信标准,它允许基于Windows的SCADA应用与过程控制硬件进行交互。该恶意软件会扫描本地网络中会对OPC请求作出响应的设备,以搜集工
业控制设备的信息,然后将这些信息反馈到C&C服务器上。除此以外,它也包含从受感染系统收集数据的信息收获工具,比如:

    1.操作系统的相关信息

    2.凭证获取工具,用来窃取存储在开发Web浏览器的密码

    3.使用自定义协议进行不同C&C服务器之间通信的组件,并在内存中执行三级有效载荷

“到目前为止,我们还未发现试图控制所连接硬件的任何有效载荷。”F-Secure证实。

动机是什么?

    对于这一点,虽然他们的动机目前还不清楚,”我们也确定攻击者所使用的附件组件包含从受感染机器上收集数据的代码,这些机器用在ICS或SCADA系统。这
表明,攻击者不仅仅对危及他们有兴趣的公司网络安全感兴趣,而且也有意获得那些机构ICS或SCADA系统的控制权。”F-Secure如是说:

Havex来自俄罗斯?

    今
年一月,网络安全公司CrowdStrike披露了一项被称为”Energetic
Bear”的网络间谍活动,在这项活动中黑客们可能试图通过俄罗斯联邦渗透欧洲、美国和亚洲能源公司的计算机网络。据CrowStrke称,那些网络攻击
中所用的恶意软件就是Havex RAT和SYSMain RAT,同时Havex RAT可能是SYSMain
RAT的更新版,这两个工具至少在2011年就被攻击者使用过。

    这就意味着,Havex RAT有可能以某种方式被俄罗斯黑客连接,或者由俄罗斯政府资助实施。

原创文章,作者:Jekyll361,如若转载,请注明出处:https://www.ek7.cn/uncategorized/53.html

(1)
上一篇 2014年6月17日 下午4:34
下一篇 2014年7月19日 上午10:57

相关推荐

  • 分析目前面对工控网络安全的五大误区

    随着网络作战以及有组织黑客越来越多地开始针对工控网进行攻击,工控网的安全问题日益成为很多企业的网络安全的头等大事。不幸的是,目前绝大多数的工控网基本处于不设防的状态,而由于在大多数…

    2013年8月15日
    01.0K3
  • 震惊世界的八大工控网络安全事件

    近年来,针对工业控制系统的各种网络攻击事件日益增多,暴露出工业控制系统在安全防护方面的严重不足。亿凯安全为大家汇总了世界八大典型的世界工控网络安全事件,以了解工业控制系统所面临的安…

    2014年7月19日
    01.7K1
  • 工控信息安全之路??任重道远

    目前,信息安全事件在国内工业界尚未发现,但这并不意味着我国的工业系统就是安全的。2012年,在拉斯维加斯举行的黑客大会上,黑客现场进攻中国重要行业的仪控系统的演示足以证明这一事实。…

    2013年7月23日
    06750
  • 工控安全思考 从本质上提高工控网络安全

      2013年信息安全产业将步入高速发展阶段,而整个互联网用户对安全产品的要求也转入“主动性安全防御”。随着用户安全防范意识正在增强,主动性安全产品将更受关注,主动的安全防御将成为…

    2013年8月14日
    07161
  • 海康爆发“棱镜门” 最严重信息安全事故

    事件:江苏省公安厅2月27日紧急通知由于海康威视设备存在巨大安全隐患,部分设备已被另外IP控制,要求对海康监控设备进行全面清查。 点评:“棱镜门”后最严重的信息安全事故,影响深远或…

    2015年3月3日
    07791
  • “工业物联网”成网络攻击的首要目标

        几乎任何支持无线的设备都有可能受到黑客攻击,从冰箱之类的厨房电器到军用无人机,不一而足。但是虽然具体的物联网设备其安全性令人颇为担忧…

    2016年5月27日
    01.3K4
  • 中科网威助力工业网络信息安全

    2013年8月8日,北京中科网威信息技术有限公司受邀出席了工控网联合工业和信息化部电子科学技术情报研究所共同举办的首届工业信息安全用户高峰论坛。在会上,中科网威针对工业控制系统日益…

    2013年8月13日
    05990
  • 国家政策加码 致力工控信息安全

      近期“棱镜门”的持续发酵,正使得社会上下对网络信息安全的问题高度关注。实际上,不仅仅在传统的公用互联网领域,由于关注度不够和前期起步阶段存在种种客观问题,工业信息安全…

    2013年8月10日
    06930
  • 工业网络 我的安全我做主

      我们认为,工业安全技术,是工业自动化领域里的人文命题。由于东西方社会核心价值体系的本质差异,使得照搬西方工业成果的中国工业制造业,在工业安全技术、工业安全工程、工艺安…

    2013年8月4日
    06600
  • 关于本站

        随着我国工业信息化建设不断深入,企业工业化和信息化程度越来越高,十二五以后两化深入融合,把原来独立分散的控制系统逐一用网络连起来,很大程度上解决了分散数…

    2016年8月4日
    06500

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

评论列表(1条)

  • 中国演员网
    中国演员网 -0001年11月30日 上午12:00

    今 年一月,网络安全公司CrowdStrike披露了一项被称为”Energetic Bear”的网络间谍活动,

分享本页
返回顶部