基础建设威胁警报响起,更厉害的恶意程式Industroyer直指电厂而来
本周安全公司ESET发现 进阶恶意程式Industroyer 专门攻击以供电系统为主的基础设施,手法类似去年底乌克兰包括政府及供电系统 遭到的骇客攻击 。 ESET将发现到恶意程式称之为Win32/industroyer。Industroyer对基础建设威胁甚大,因为它能直接控制电厂的配电变电所开关及输电网路的断路器。研究人员分析,Industroyer核心是一种后门程式,能为安装及控制其他元件,并连向远端C&C服务器,由攻击者下令行动并回报攻击者。
安全分析师指出,Industroyer使用的是全球电厂、运输控制系统及自来水、瓦斯等其他基础设施使用的工业通讯协定,但这些通讯协定都是几十年前设计的,当时设计没有资讯安全的观念。攻击者根本无需找到漏洞,只要让恶意程式跟这些协定“讲话”即可。因此,Industroyer可以轻易关闭供电、引发系统失灵或其他更严重危害。 由恶意程式样本分析,Industroyer使用的4种元件都是为了直接控制变电所开关及断路器而设计,而且能依阶段辨识输电网路,并依据不同工控系统发出指令,显示攻击者对此类系统的深厚知识。
4种元件分别对应不同的通讯协定,显示骇客对症下药,对锁定的系统有备而来,具备相当的知识:
