位于斯洛伐克反病毒廠商ESET和美國馬里蘭州工業(yè)網(wǎng)絡安全企業(yè)Dragos Inc.的安全研究人員們表示，他們發(fā)現(xiàn)了一種對關鍵的工業(yè)控制系統(tǒng)存在威脅并能夠?qū)е峦ｋ姷膼阂獬绦?。ESET該惡意軟件命名為“Industroyer”，Dragos將該惡意軟件命名為“Crashoverride”，將威脅攻擊者稱為“ELECTRUM”。安全研究人員們認為，這套被稱為“Crashoverride”或者“Industroyer”的惡意程序框架正是去年12月導致烏克蘭基輔北部地區(qū)停電數(shù)小時的罪魁禍首。

截至本周一，現(xiàn)實世界當中僅出現(xiàn)過三例針對工業(yè)控制系統(tǒng)的惡意程序肆虐案例，分別為BlackEnergy（2015年12月被用于烏克蘭電網(wǎng)攻擊）、Havex（主要用于攻擊歐洲境內(nèi)組織）以及最為知名的美國政府開發(fā)之Stuxnet（即震網(wǎng)病毒，2010年被用于伊朗核設備攻擊）。而Industroyer的出現(xiàn)為這一家族增添了新的成員。

斯洛伐克反病毒廠商ESET公司研究員羅伯特·利普維斯基作為這一惡意程序的發(fā)現(xiàn)者，他表示這樣的惡意程序擁有巨大的潛在影響能力，且絕不僅限于烏克蘭。目前全球范圍內(nèi)各類關鍵性基礎設施都有采用能夠被該惡意程序所侵擾的工業(yè)硬件產(chǎn)品。

此惡意程序的發(fā)現(xiàn)意義極為重大，因為其代表著有史以來第一個直接與電網(wǎng)硬件進行交互的已知惡意案例。

各國立法者們長久以來一直擔心此類程序可能以遠程方式破壞工業(yè)系統(tǒng)，因為其確實有能力通過互聯(lián)網(wǎng)引發(fā)災難性的后果。過去，黑客們通過攻擊手段關閉電力供應的場景只局限于電影當中，但如今卻開始逐漸成為現(xiàn)實。2010年研究人員們發(fā)現(xiàn)的Stuxnet震網(wǎng)病毒顯然是希望憑借自身突破性的滲透能力引發(fā)離心機失控，進而破壞伊朗的核研究計劃。而到2015年，網(wǎng)絡攻擊使得烏克蘭國內(nèi)超過20萬民眾失去電力供應。

ESET公司在報告中披露稱，某臺安裝在烏克蘭基輔的電力傳輸設備曾于2016年12月17日晚因惡意程序影響而發(fā)生服務中斷。烏克蘭官員此前簡單宣稱該事故屬于網(wǎng)絡攻擊，但ESET報告中引用了來自美國馬里蘭州工業(yè)網(wǎng)絡安全企業(yè)Dragos的分析結論，通過具體的技術細節(jié)說明了該惡意程序如何破壞斷路器并通過批量刪除數(shù)據(jù)的方式掩飾其攻擊痕跡。

ESET公司解釋稱，要編寫出能夠破壞全球各地負責電力網(wǎng)絡運作之工業(yè)控制器的代碼，要求攻擊者一方擁有強大的技術實力——而這亦證明這批黑客確實精通此道，并擁有資源在實驗室當中測試其惡意工具。

要發(fā)動Industroyer攻擊，惡意攻擊者首先需要入侵一套基礎設施，并以此為橋接點將病毒傳入該系統(tǒng)。攻擊者可以利用網(wǎng)絡釣魚郵件或者其它感染載體獲得初步立足點并收集用戶憑證。

ESET研究員利普維斯基拒絕透露該惡意程序的幕后黑手，不過此前烏克蘭方面官員已經(jīng)斷言此項入侵應由俄羅斯負責。烏克蘭官員還沒有對相關報道發(fā)布回復。

Dragos的研究人員認為ELECTRUM APT組織與Sandworm APT組織有直接關系。

Dragos在報告中指出，CRASHOVERRIDE惡意軟件于2016年12月17日影響了烏克蘭的變電站。這起攻擊中的許多元素似乎更像是PoC。但從間諜情報技術的演變來看，最重要的是理解，這款惡意軟件根據(jù)過去的攻擊經(jīng)驗被整理和擴展。

Dragos描述了這款惡意軟件的理論攻擊：即黑客使用Industroyer無限循環(huán)打開關閉的斷路器，導致變電站斷電。并且，由于命令無限循環(huán)，不斷為該值設置地址，可以有效打開關閉的斷路器。

如果系統(tǒng)操作人員試圖在HMI上發(fā)出關閉命令，則序列循環(huán)將繼續(xù)打開斷路器。保持斷路器打開的循環(huán)將有效使變電站斷電，阻止系統(tǒng)操作人員管理斷路器并啟動線路。因此，目標設施的操作人員無法將斷路器從HMI關閉，為了恢復供電，他們需切斷與變電站的通信，并手動修復問題。在另一起可能的攻擊場景中，黑客啟動無線循環(huán)，使斷路器持續(xù)打開、關閉，這可能會觸發(fā)保護，并導致變電站斷電。

Industroyer是一款模塊化惡意程序。其核心組件為一套后門程序，攻擊者可利用其管理攻擊活動：該后門負責安裝并控制其它組件，同時接入遠程服務器以接收指令以及向攻擊者發(fā)送報告。

之所以與其它針對基礎設施的惡意軟件有所區(qū)別，是因為Industroyer不會利用任何“零日”軟件漏洞進行惡意攻擊。 Industroyer的起效原理依賴于電源基礎設施、運輸控制系統(tǒng)和其他關鍵基礎設施系統(tǒng)中使用的四種工業(yè)通信協(xié)議。此類通信協(xié)議在歐洲、中東以及亞洲的基礎設施系統(tǒng)中皆得到普遍使用。

Industroyer的設計目的在于直接獲取配電站內(nèi)開關及斷路器設備之控制權。Industroyer可以控制幾十年前設計的變電站開關和斷路器，允許攻擊者輕易地關閉配電，造成級聯(lián)故障，甚至是對設備造成更嚴重的損壞。這對于負責供電設施的從業(yè)者來說，這無疑將帶來噩夢般的情景。

Industroyer所利用的四種工業(yè)通信協(xié)議具體包括：IEC 60870-5-101、IEC 60870-5-104、IEC 61850以及OLE處理控制數(shù)據(jù)訪問（簡稱OPC DA）。

總體來講，payload會首先對目標網(wǎng)絡進行結構繪制，而后找到其中與特定工業(yè)控制設備相關的部分并發(fā)出命令。Industroyer的payload證明該惡意軟件作者對于工業(yè)控制系統(tǒng)擁有深厚的知識積累與了解。

通過一系列入侵，該模塊化惡意程序還可用于對美國的基礎設施硬件發(fā)動攻勢。而該payload本身可影響到ABB集團以及西門子等世界領先工業(yè)技術開發(fā)商生產(chǎn)的多款產(chǎn)品。

該惡意程序中還包含其它幾項功能，旨在確保程序自身免受安全檢測方案的發(fā)現(xiàn)，從而實現(xiàn)惡意程序持久性并在相關活動完成后清除能夠證明自身存在的一切痕跡。

舉例來說，其與隱藏在Tor內(nèi)的C&C服務器間的通信活動將僅限于非工作時間內(nèi)進行。另外，其還采用另一套被偽裝為記事本應用的后門，旨在重新獲取對目標網(wǎng)絡的訪問，借此防止主后門遭到檢測或禁用。

另外，其清理器模塊還能夠擦除系統(tǒng)之內(nèi)的關鍵性注冊表項并覆蓋相關文件，導致系統(tǒng)無法啟動以提升恢復工作執(zhí)行難度。更為有趣的是，其中的端口掃描器會繪制網(wǎng)絡結構并嘗試找到相關計算機，而此掃描器為攻擊者自行開發(fā)的定制化工具——而未使用任何現(xiàn)有軟件。最后，“拒絕服務”工具模塊會利用西門子SIPROTEC設備當中的CVE-2015-5374安全漏洞并導致目標設備陷入無響應狀態(tài)。

Industroyer是一款高度定制化惡意程序。盡管其能夠在通用狀態(tài)下用于攻擊使用某些常見通信協(xié)議的任意工業(yè)控制系統(tǒng)，但樣本分析中發(fā)現(xiàn)的部分組件還被設計為針對一部分特定硬件。例如，清除器與其中一項payload部件專門用于攻擊來自ABB集團的某些工業(yè)電力控制產(chǎn)品系統(tǒng)，而拒絕服務組件則專門針對變電站以及其它相關領域中所使用的西門子SIPROTEC設備。

從原則上講，在未進行現(xiàn)場調(diào)查的前提下，我們很難將攻擊活動與具體惡意軟件關聯(lián)起來。然而就目前的情況看，2016年12月發(fā)生的烏克蘭電網(wǎng)攻擊事件很可能與Industroyer有關。這是因為該惡意軟件除了確實擁有執(zhí)行此類攻擊的獨特能力，其激活時間戳亦為2016年12月17日——與烏克蘭停電事件的發(fā)生時間恰好相符。

2016年烏克蘭電網(wǎng)攻擊事件所引發(fā)的各方關注度要低于一年之前的類似攻擊。然而真正值得關注的是，此次攻擊中所使用的Win32/Industroyer工具是一款非常先進的惡意程序，無疑出自水平極高且目標極為明確的攻擊者之手。

由于能夠長久駐留在目標系統(tǒng)當中并根據(jù)有價值信息以對payload進行調(diào)試定制化配置，因此攻擊者能夠保證該惡意軟件適應任何環(huán)境——這使得Industroyer變得異常危險。無論烏克蘭電網(wǎng)遇襲事件是否由其為之，Industroyer的曝光都應引起世界各地關鍵性基礎設施安全負責人的高度警惕。

由于Industroyer并不屬于蠕蟲型病毒：其并不會自動傳播或者瞬間從某一受感染系統(tǒng)傳播到其它系統(tǒng)當中。換言之，根據(jù)目前掌握的相關證據(jù)來看，其無法輕松實現(xiàn)擴展。目前尚不清楚Industroyer已經(jīng)影響到多少組織機構。