|
执行摘要 年6月8日,Dragos公司收到斯洛伐克的反病毒厂商ESET公司的一则消息,内容与一个针对ICS(工业控制系统)的恶意软件有关。Dragos团队通过这条通知发现了恶意软件样本,分析了恶意软件的新功能和影响范围,并确认这个恶意软件与年12月17日发生在乌克兰首都基辅输电变电站的网络攻击事件有关。本报告作为一个行业报告,旨在向电力部门和安全组织解释一下这个恶意软件的潜在影响,对其中的一些细节酌情进行讨论。 为什么要发布这篇报告?安全公司始终必须要保持一种平衡,切忌向公众(包括攻击者)透露太多关于攻击如何被检测和分析的过程,这个案例也是一样。事实上,本报告更想表述的是,通过报告中讲到的利用电网系统的知识,并没有简单的解决方案可以处理电网操作面临的网络威胁。这不是单方面的技术漏洞和利用,不能通过打补丁或调整架构来解决,尽管电网是完全可防御的。人类应该采取主动防御,比如在工业控制系统(ICS)网络内部进行威胁狩猎和应急响应,这是主要的确保安全的方法。 关键点多个地方的恶意软件样本都自称“Crash”,于是我们将这一恶意软件框架命名为“CRASHOVERRIDE”。 “CRASHOVERRIDE”是第一个被设计和部署用于电网攻击的恶意软件框架。 “CRASHOVERRIDE”是第四个定制的ICS恶意软件(前三例分别是:STUXNET,BLACKENERGY2,和HAVEX)用来攻击目标,也是第二个被部署用于破坏物理工业过程的恶意软件(Stuxnet是第一个)。 “CRASHOVERRIDE”不是针对特定的供应商或某个独特的配置,而是利用网格运营和网络通信常识造成影响。如此一来,它将可以立即被重新利用在欧洲、亚洲和中东部分地区。 “CRASHOVERRIDE”是可扩展的,通过少量的修改(如包含一个DNP3协议栈)就可以针对北美电网进行攻击。 “CRASHOVERRIDE”能够同时在多个站点被利用,但是后果也不是灾难性的,可能会导致断电几小时、也可能是几天,不过不会连续发生几周或更长时间。 Dragos有充分的证明可以确定这款恶意软件曾被用于年12月17日的输电变电站的网络攻击中,那次事件导致部分用户无法用电。 “CRASHOVERRIDE”框架没有间谍活动,恶意软件的唯一功能就是攻击电网导致停电。 “CRASHOVERRIDE”可以通过一个附加的协议模块推广到其他行业,但是对手没有变现出对其他物理工业流程的知识来证实这一猜测,单独的协议变化可能是不充分的。 Dragos公司跟踪到“CRASHOVERRIDE”背后的组织是ELECTRUM,通过秘密的消息来源我们确信ELECTRUM和Sandworm组织之间有直接联系。ICSWorldView的客户将收到一个详细的报告,这份工业报告不会讨论敏感的技术细节,侧重于提供防御和认识影响方面所需的信息。 背景年6月8日,斯洛伐克反病毒厂商ESET分享了一份恶意软件数字哈希的子集,Dragos对其中一部分进行了分析。Dragos团队在年6月12日公布了相关调查的结果。非常感谢ESET公司分享信息并允许Dragos团队在此基础上展开调查,Dragos期待可以公布这份报告,着重讲述一下电网操作的一些细节,另外本报告中还包含了一些新的发现、指标和事件的启示。Dragos团队在过去的96个小时内,重现并验证了ESET的分析,寻找并分析了新的恶意样本,识别了额外的感染,通知了相关的公司并通知了我们的客户。重要的是,Dragos更新了ICS运营商的观念,他们需要意识到这种威胁的影响力,感谢相关政府机构、诸多国家计算机应急响应小组(CERT)和电力能源组织的参与和帮助。 如果你是Dragos公司的客户,你已经收到了一份更简洁、技术细节更深入的情报报告。伴随着后续的报道,Dragos团队会让你及时了解事情的发展状况。Dragos认为本报告包含的重要评估值得电力行业相关单位和人员的白癜风如何确诊治疗好拉萨治白癜风最好的医院
|
