Havex:类Stuxnet的恶意软件袭击欧洲SCADA系统

来源:51CTO  
2014/7/11 10:23:19
安全研究人员近来发现了一种新的类似震网病毒的恶意软件,并将其命名为:Havex,早先这种恶意软件已被用在很多针对能源部门的网络攻击中。

本文关键字: 恶意软件 网络安全
安全研究人员近来发现了一种新的类似震网病毒的恶意软件,并将其命名为:Havex,早先这种恶意软件已被用在很多针对能源部门的网络攻击中。
 
就像著名的专门设计用来破坏伊朗核项目的Stuxnet蠕虫病毒,Havex也是被编写来感染SCADA和工控系统中使用的工业控制软件,这种木马可能有能力禁用水电大坝、使核电站过载、甚至可以做到按一下键盘就能关闭一个国家的电网。
 
安全厂商F-Secure首先发现这种木马并将其作为后门命名为W32/Havex.A,F-Secure称它是一种通用的远程访问木马(RAT,即remoteaccessTrojan),近来被用于从事工业间谍活动,主要攻击对象是欧洲的许多使用和开发工业应用程序和机械设备的公司。
 
SMARTY PANTS,TROJANIZED INSTALLERS
 
要做到这点,除了诸如利用工具包和垃圾邮件等传统感染方式外,网络罪犯们还会使用另一种有效的方法传播Havex,例如:渗透目标软件公司的Web站点,并等待目标安装那些合法APP的感染木马的版本。
 
在安装过程中,该木马软件释放一个叫做"mbcheck.dll"的文件,这个文件实际上就是攻击者用作后门的Havex恶意代码。
 
"C&C服务器将会指示被感染的计算机下载并执行其他组件",F-Secure称,"我们收集和分析了Havex RAT的88个变种,这些变种被用来从目标网络和机器获取权限并搜集大量数据。这份分析报告包括了对与那些变种有关的146个C&C服务器的调查,这些服务器涉嫌试图通过追踪大约1500个IP地址来定位目标受害者"
 
F-Secure没有指出被影响厂商的名字,但比较针对法国的一个工业机械制造商和两个教育机构和德国的很多公司。
 
信息搜集
 
Havex RAT配备了一个新的组件,其目的是通过利用OPC(开放平台通信)标准来收集网络和联网设备的信息。
 
 
OPC是一种通信标准,它允许基于Windows的SCADA应用与过程控制硬件进行交互。该恶意软件会扫描本地网络中会对OPC请求作出响应的设备,以搜集工业控制设备的信息,然后将这些信息反馈到C&C服务器上。除此以外,它也包含从受感染系统收集数据的信息收获工具,比如:
 
1.操作系统的相关信息
 
2.凭证获取工具,用来窃取存储在开发Web浏览器的密码
 
3.使用自定义协议进行不同C&C服务器之间通信的组件,并在内存中执行三级有效载荷
 
"到目前为止,我们还未发现试图控制所连接硬件的任何有效载荷。"F-Secure证实。
 
动机是什么?
 
对于这一点,虽然他们的动机目前还不清楚,"我们也确定攻击者所使用的附件组件包含从受感染机器上收集数据的代码,这些机器用在ICS或SCADA系统。这表明,攻击者不仅仅对危及他们有兴趣的公司网络安全感兴趣,而且也有意获得那些机构ICS或SCADA系统的控制权。"F-Secure如是说。
 
Havex来自俄罗斯?
 
今年一月,网络安全公司CrowdStrike披露了一项被称为"Energetic Bear"的网络间谍活动,在这项活动中黑客们可能试图通过俄罗斯联邦渗透欧洲、美国和亚洲能源公司的计算机网络。据CrowStrke称,那些网络攻击中所用的恶意软件就是Havex RAT和SYSMain RAT,同时Havex RAT可能是SYSMain RAT的更新版,这两个工具至少在2011年就被攻击者使用过。
 
这就意味着,Havex RAT有可能以某种方式被俄罗斯黑客连接,或者由俄罗斯政府资助实施。
责编:李玉琴
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map