對工控安全威脅最大的五個惡意軟件

提到工控系統惡意軟件，人們首先會想第一個能直接攻擊OT網絡的震網病毒（Stuxnet），但是震網病毒之后，又涌現大量新型惡意軟件，對工控系統構成嚴重威脅。

近年來，針對工控系統的惡意軟件正變得更加復雜且易用。最初的震網病毒需要通過U盤來潛入伊朗設施，但最新的工控惡意軟件工具可通過網絡遠程攻擊。

“較新的OT惡意軟件可以通過跨OT網絡的中間系統遠程部署，使攻擊者更方便地使用它來對付目標。”Mandiant的安全研究人員Kapellmann Zafra指出：“新的工控系統惡意軟件更加靈活，可以定制修改，以針對多個目標進行部署。”

Rapid7的首席安全研究員Deral Heiland則指出，針對工控系統的新型惡意軟件通常利用目標ICS/SCADA環境的正常功能以及相關的管理和控制協議。攻擊者對曾經相對閉塞和晦澀的ICS/SCADA通信協議（例如Codesys和Profinet）有了更好的理解，并正在利用這些知識開發更復雜的工具。

以下是震網病毒之后，專為攻擊工控系統而設計的五大惡意軟件：

1、Triton/Trisis

Triton/Trisis被用于2017年針對沙特阿拉伯煉油廠的攻擊。該惡意軟件針對施耐德電氣的安全儀表系統(SIS)Triconex的多個型號的設備，這些設備被煉油廠用于監控工廠的管理和硫回收系統。如果惡意軟件按預期工作，它可能會引發爆炸和設施內危險氣體的釋放。但施耐德電氣SIS設備上的安全控制發現了攻擊者安裝惡意軟件的嘗試，并觸發了整個煉油廠的自動關閉。

Triton/Trisis針對煉油廠的施耐德安全儀表系統而設計。因此，Dragos當時評估該惡意軟件不會對施耐德電氣的其他客戶環境構成威脅。但Dragos評估說，攻擊者在攻擊中使用的策略、技術和程序會被其他人復制。

Mandiant發現該惡意軟件有多種功能，包括讀寫程序和查詢施耐德SIS控制器的狀態；向控制器發送特定命令，例如“停止”；并使用惡意負載遠程重新編程它們。

Mandiant的Kapellmann Zafra透露：“Triton之所以特別危險，是因為它針對的是安全系統，這意味著可能存在物理破壞的意圖。” 他說，該惡意軟件針對特定的資產，此類資產通過一種幾乎沒有記錄的專有協議進行通信，這意味著攻擊者可能需要對工控設備進行逆向工程來開發惡意軟件。

  2、Incontroller/PipeDream  

Incontroller/PipeDream是最近才發現的專門攻擊工控系統的惡意軟件威脅。美國網絡安全和基礎設施安全局(CISA)等機構已確定該惡意軟件對液化天然氣和電力供應商等能源機構和組織構成嚴重威脅。

Incontroller是Mandiant給該惡意軟件的跟蹤代號，包含三個惡意軟件工具，針對施耐德電氣和歐姆龍的可編程邏輯控制器(PLC)以及任何基于開放平臺通信統一架構(OPC UA)的服務器。攻擊者可使用該惡意軟件對目標工業環境進行偵察，并控制PLC，實施可能導致工廠中斷、安全故障和潛在物理災難的破壞活動。

值得注意的是，Incontroller/PipeDream并未利用任何漏洞來破壞目標系統。相反，它使用Modbus和Codesys這兩種常見的工業協議與PLC進行通信和交互。據Dragos稱，該惡意軟件利用本機功能的能力使其難以在工業環境中被發現，該公司給該惡意軟件分配的代號是PipeDream。Dragos將該惡意軟件歸因于一個可能位于俄羅斯的威脅組織，稱之為Chernovite。

Incontroller/PipeDream的三個主要組件是：一個從OPC環境中掃描和收集數據的工具；一個可以通過Modbus和Codesys識別Schneider和其他基于Modbus的PLC并與之交互的框架；以及專門設計用于通過HTTP和Telnet攻擊Omron設備的工具。

目前，Mandiant正在跟蹤Tagrun、Codecall和Omshell這三種威脅。

Mandiant高級技術分析經理Kapellmann Zafra指出：“Incontroller只需利用現有資產和已知協議中的本機功能進行通信，而無需開發復雜的漏洞利用。”“從本質上講，它表明攻擊者可以只使用設備/網絡的本機功能來改變工控系統的物理流程。”

  3、Industroyer/CrashOverride 

Industroyer（也稱為CrashOverride）被認為是第一個已知的僅針對電網的惡意軟件。在2016年12月對烏克蘭電網的攻擊中，安全研究人員首次觀察到該惡意軟件被部署，攻擊導致基輔部分地區停電一小時。多家安全廠商將該惡意軟件歸因于俄羅斯APT組織Sandworm（沙蟲）。

該惡意軟件的一個顯著特點是不針對任何特定技術（工控設備），也不利用任何漏洞。相反，它使用本地ICS通信協議與工業系統進行交互，攻擊者以不會觸發任何警報的方式向它們發出惡意命令。

根據ESET和Dragos等公司的分析，Industroyer由四個有效負載組件組成，這些組件分階段工作，首先映射目標環境，并找出用于控制高壓開關和斷路器的控制變電站。

早些時候，烏克蘭的計算機應急響應小組(CERT-UA)挫敗了沙蟲組織對烏克蘭電網的新一輪攻擊，這次攻擊中使用了定制化的新版本Industroyer2，其中僅包含原始版本四個有效載荷之一。

Industroyer、Industroyer2和Incontroller的設計方式使其可用于不同的攻擊場景。Mandiant的Kapellmann Zafra指出：“它們可以針對多個受害者部署，因為它們具有在特定邊界內定制攻擊的能力——例如它們使用的通信協議。”

4、Bla ckEnergy 

BlackEnergy最初是用于DDoS攻擊以及下載垃圾郵件和惡意軟件的惡意軟件。該惡意軟件最出名的“用例”是2015年12月對烏克蘭電力公司Prykarpattya Oblenerg的網絡攻擊，該攻擊導致30個變電站斷電，引發了長達6小時的大停電，影響了大約100個城市。研究人員將這次攻擊歸因于俄羅斯的APT組織“沙蟲”。

在這次攻擊中，黑客入侵了電力公司基于Windows的人機界面(HMI)系統，并用它來操縱斷路器以觸發斷電。分析這次攻擊的研究人員發現了BlackEnergy的證據，并在受感染的電力公司的網絡上發現了一個名為KillDisk的擦除器。但目前業界對于BlackEnergy在引發停電中所起的作用依然沒有定論。

事實上，BlackEnergy是“沙蟲”攻擊鏈的一部分，隨后又被用于對烏克蘭礦業公司和鐵路運營商的攻擊，這意味著其對全球各地的工業控制系統環境都構成威脅。根據美國網絡安全和基礎設施安全局(CISA)的分析，至少自2011年以來，美國和其他地方的工控系統環境中涉及BlackEnergy的攻擊一直在發生。CISA確定了幾家被BlackEnergy瞄準的供應商的HMI產品，包括Siemens、GE和Advantech/Broadwin。

   5、Havex    

Havex是一種遠程訪問木馬(RAT)，俄羅斯APT組織Dragonfly（又名Energetic Bear）于2014年首次被觀察到用該木馬攻擊部署在能源部門組織中的ICS/SCADA系統。最初，Havex被用于從受感染的系統和系統運行的環境中收集數據。

趨勢科技的一項分析表明，Havex還可以下載并執行其他代碼，這些代碼可以查找并連接到基于開放平臺通信(OPC)架構的服務器，并收集以后可能用于破壞設備的信息。

Dragonfly使用Havex的許多早期攻擊都針對能源領域的公司，目的似乎是為了偵察環境。該組織分發Havex的方法主要是通過網絡釣魚電子郵件和入侵工控系統軟件提供商的網站并在其產品中植入惡意代碼。

2017年，賽門鐵克和其他公司報告觀察到黑客在攻擊中部署Havex惡意軟件，旨在完全控制美國、瑞士和土耳其能源部門組織的操作系統。安全廠商確定這些攻擊至少從2015年12月開始就一直在進行，并為攻擊者提供了對控制電力設施關鍵設備的系統的完全訪問權限。

美國政府在2021年8月的一份起訴書（近期公開）中指控俄羅斯聯邦安全局的三名官員參與了攻擊。起訴書顯示，攻擊者通過后門攻擊了眾多公司，包括電力傳輸公司、公用事業公司、石油和天然氣供應商以及核電運營商。根據報告，Dragonfly在美國和全球其他地方的組織中累計大約17000臺設備上安裝了Havex木馬。

原文來源：GoUpSec