2014年專門針對工控系統(tǒng)的新型攻擊

2014年6月25日，ICS-CERT發(fā)布了題為“ICS Focused Malware”的安全通告ICS-ALERT-14-176-02。其中通報了一種類似震網(wǎng)病毒的專門針對工控系統(tǒng)攻擊的惡意代碼。安全廠商F-Secure首先發(fā)現(xiàn)了這種惡意代碼并將其作為后門命名為W32/Havex.A，F(xiàn)-Secure稱它是一種通用的遠(yuǎn)程訪問木馬（RAT，即Remote Access Trojan）。

就像著名的專門設(shè)計用來破壞伊朗核項目的Stuxnet蠕蟲病毒一樣，Havex也是被編寫來感染SCADA和工控系統(tǒng)中使用的工業(yè)控制軟件，這種木馬可能有能力禁用水電大壩、使核電站過載，甚至可以做到按一下鍵盤就能關(guān)閉一個國家的電網(wǎng)。

根據(jù)ICS-CERT、F-secure、Symentec的研究表明：網(wǎng)絡(luò)攻擊者傳播Havex惡意軟件方式有多種，除了利用工具包、釣魚郵件、垃圾郵件、重定向到受感染的Web網(wǎng)站等傳統(tǒng)感染方式外，還采用了“水坑式”攻擊方式，即通過滲透到目標(biāo)軟件公司的Web站點，并等待目標(biāo)安裝那些合法APP的感染惡意代碼的版本。

ICS-CERT的安全通告稱，當(dāng)前至少已發(fā)現(xiàn)3個著名的工業(yè)控制系統(tǒng)提供商的Web網(wǎng)站已受到該惡意代碼的感染。顯然，這些惡意代碼的傳播技術(shù)使得攻擊者能夠獲得工控系統(tǒng)的訪問權(quán)限，并安裝相應(yīng)的惡意代碼（后門程序或木馬）。而在安裝過程中，該惡意軟件會釋放一個叫做“mbcheck.dll”的文件，這個文件實際上就是攻擊者用作后門的Havex惡意代碼。

F-Secure聲稱他們已收集和分析了Havex RAT的88個變種，并認(rèn)為Havex及其變種多通過利用OPC標(biāo)準(zhǔn) 被用來從目標(biāo)網(wǎng)絡(luò)和機器獲取權(quán)限并搜集大量數(shù)據(jù)。具體表現(xiàn)為：該類惡意軟件會通過掃描本地網(wǎng)絡(luò)中那些會對OPC請求做出響應(yīng)的設(shè)備，來收集工業(yè)控制設(shè)備的操作系統(tǒng)信息、竊取存儲在開發(fā)Web瀏覽器的密碼、使用自定義協(xié)議實現(xiàn)不同C&C服務(wù)器之間的通信，然后把這些信息反饋到C&C服務(wù)器上（Havex的攻擊原理如下圖所示）。

同時FireEye公司的研究人員最近也聲稱發(fā)現(xiàn)了一個Havex的新變種，同樣認(rèn)為發(fā)現(xiàn)的Havex變種具備OPC服務(wù)器的掃描功能，并可以搜集有關(guān)聯(lián)網(wǎng)工控設(shè)備的信息，以發(fā)回到C&C服務(wù)器供攻擊者分析使用。這表明，雖然Havex及其變種最可能是被用作收集工控系統(tǒng)情報的工具，但攻擊者應(yīng)該不僅僅是對這些目標(biāo)公司的系統(tǒng)信息感興趣，而必然會對獲取那些目標(biāo)公司所屬的ICS或SCADA系統(tǒng)的控制權(quán)更感興趣。

最近多家安全公司的研究發(fā)現(xiàn)它多被用于從事工業(yè)間諜活動，其主要攻擊對象是歐洲的許多使用和開發(fā)工業(yè)應(yīng)用程序和機械設(shè)備的公司。