神秘的恶意软件目标工业控制系统,借用Stuxnet技术
研究人员发现了一个恶意软件程序,旨在操纵监督控制和数据采集(SCADA)系统,以隐藏工业过程的实际读数。
据称由美国和以色列创建的斯坦特纳萨布奇恶意软件使用相同的技术来破坏伊朗的核计划,并归功于摧毁了大量的国家的铀浓缩离心机。
新的恶意软件在去年的下半年由来自安全公司Fireeye的研究人员发现,而不是积极的攻击,而是在Virustotal数据库中。Virustotal是一个谷歌拥有的网站,用户可以提交防病毒发动机扫描的可疑文件。
Fireeye被称为狂热的神秘计划,在2014年通过几个来源上传到Virustotal,此时该网站使用的防病毒产品没有被检测为恶意。
它也令人惊讶的是,没有公司已经确定了恶意软件,直到2015年迟到,因为毒蚀样本自动与参加该项目的所有防病毒供应商分享。
Fireeye本身发现了它,因为该公司正在寻找与Pyinstaller编译的潜在可疑的样本,各种攻击者使用的技术。两个混乱的有效载荷脱颖而出,因为他们有引用SCADA和相关功能。
好消息是,样本似乎是概念的证据或部分研究努力的一部分。它们“重新设计用于查找和更换与西门子SIMATIC S7-PLCSIM通信的特定DLL,该软件产品允许用户在模拟S7-300和S7-400可编程逻辑控制器(PLC)上运行程序。
PLC是监控和控制工业过程的专用硬件设备 - 纺纱电机,打开和关闭阀等。它们将其读数和其他数据传输到监控软件,人机界面(HMI),这些数据在使用的工作站上运行工程师。
与斯坦特网一样在伊朗的北非亚州核电站,令人兴奋的目标是将自己注入SCADA监测过程,并操纵来自PLC的数据,可能隐藏着持续的破坏。
Stuxnet通过暂停PLC操作来完成此操作,因此报告的离心机转子速度将保持静态,在正常限制内,而实际上不是。相反,从PLC记录了有效数据,然后持续播放数据回来 - 想到围绕循环中的监控摄像机的强盗。
令人兴奋的事实是与PLC模拟器互动并取代了一个不属于西门子标准产品集的DLL,这导致了Fireeye研究人员相信这种恶意软件可能只是一个测试。
西门子产品计算机紧急准备团队(ProductCert)“已确认代码不能针对标准的西门子控制系统环境工作,”Fireeye研究人员周四在博客文章中表示。
但是,如果狂乱只是2014年开发的概念证据,旨在测试类似于PLC的STUXNET网络,它可能意味着其创造者自那时起作用的创造者已经建立了另一个恶意软件程序,从而反对真正的工业控制系统(IC)部署。无论哪种方式,令人厌恶的发现应该是对运营SCADA系统的组织的警告。
“攻击者已经了解并实施了斯肯纳特的技术,但是防守者尚未真正提高了检测恶意软件目标IC的能力,”ICS安全咨询咨询数字债券首席执行官Dale Peterson Dale Peterson“在博客帖子中表示。“我们需要显着提高ICS完整性攻击的检测能力。”