俄罗斯在2022年初入侵乌克兰,重新点燃了该地区的战斗,但也升级了正在进行的网络战争。在黑帽在安全会议上,来自ESET的安全研究人员检查了industrer2恶意软件该计划旨在造成乌克兰大规模停电。
进入Industroyer2
在他们的谈话中,ESET的研究人员将industrer2恶意软件的沿袭追溯到2013年使用BlackEnergy恶意软件对乌克兰电网的攻击——根据ESET首席威胁情报研究员Robert Lipovsky的说法,这是“有史以来第一次由网络攻击引起的停电”。
大约一年后,第二次电网攻击导致乌克兰多个城市断电.但与第一次攻击不同的是,这一次的特征是首次出现industrstroyer恶意软件,利波夫斯基说,这只是之后的第二个恶意软件超级工厂病毒"旨在对工业硬件造成物理破坏"
时间快进到2022年俄罗斯入侵乌克兰,ESET发现了一种被称为industrer2的恶意软件的新版本。这一次,袭击被挫败了,避免了可怕的后果。利波夫斯基说:“如果攻击成功了,理论上可能会有200多万人被蒙在鼓里。”“在我们看来,这是迄今为止战争中最严重的一次网络攻击,尽管没有成功。”
在他们的报告中,研究人员确定了沙虫APT组负责创建和部署这些攻击。美国司法部之前指控俄罗斯格鲁乌军事情报机构六名成员与沙虫APT小组有关的活动。沙虫的原因吗?利波夫斯基解释说,这群人喜欢用和弗兰克·赫伯特有关的名字沙丘.是的,真的。
检查恶意软件
Industroyer和industroer2的一个重要部分是使用工业协议,这些协议可以与断路器和变电站中的其他机制进行通信。最初的industrieryer配备了四种这样的协议,但industrier2只使用IEC-104协议。许多电网都使用这种协议,但它很脆弱,因为它是“几十年前设计的,没有关注安全性,”利波夫斯基解释说。
他的合作研究员、ESET的高级恶意软件研究员Anton Cherepanov强调,该协议缺乏安全性是攻击的关键。“[industrer2]根本没有利用任何漏洞,它利用的是预期使用的协议。”
这也许是二战以来世界面临的最大挑战。
industriroyer和industriroer2都与一组其他恶意软件一起部署。有些是为了帮助恶意软件在受感染的网络上传播,而另一些是假勒索软件,旨在掩盖恶意软件的真正功能。利波夫斯基假设,攻击者可能在研究人员发现恶意软件后部署了假勒索软件。
industriroyer攻击的一个关键部分是使用“雨刷”——也就是恶意软件,它会严重扰乱机器,导致它们无法启动。这阻碍了发现恶意软件的真正目的,并使攻击开始后更难减轻。
利波夫斯基说,尽管industrstroyer的两个版本都没有完全成功,但它们仍然是一个主要的——尽管是可控的——威胁。“它不应该被炒作,但也不应该被淡化或低估。”
在前线
乌克兰特别通信和信息保护国家服务副主席维克多·卓拉(Victor Zhora)的发言也让人感到意外。Zhora解释了乌克兰政府如何积极跟进来自工业部门的建议,特别是与能源部门有关的建议。他说,正是对这种不寻常活动的调查导致了对industrer2的发现和缓解。
也有些运气。industrer2的创建者将触发时间硬编码为下午5点58分。卓拉推测,之所以选择这样做,是因为在一天的晚些时候,受感染的工作站可能仍在打开,但在人们准备结束工作时没有受到积极的监控。
“这些攻击者遗漏了一个非常重要的东西,”卓拉解释说。“星期五上班时间很短。”当触发器应该被激活时,大多数受感染的工作站已经关闭。
卓拉小心翼翼地感谢了那些“在我们的生存斗争中”帮助乌克兰的安全公司。他强调,industrer2是“完全针对民用基础设施的破坏性行动”。
“这可能是二战以来世界面临的最大挑战,”卓拉说。“这种情况正在网络空间发生。”
继续阅读PCMag的最新黑帽.