神刀安全网

神秘恶意软件攻击西门子工业设备

神秘恶意软件攻击西门子工业设备

据报道,安全研究专家们发现了一款罕见的恶意软件,在对这一神秘的恶意软件进行了详细地分析之后发现,这一恶意软件不仅可以对工业设备(例如能源工厂和化学工厂)进行攻击,而且还可以掩盖其攻击痕迹。

在去年,网络安全公司FireEye的安全研究团队在对攻击工业控制系统的计算机病毒进行研究和分析时,无意中发现了这一恶意软件。安全研究人员将这一恶意软件取名为“ Irongate ”。

如果读者想要了解安全研究人员到底是如何发现这一恶意软件的,请点击 这里 了解详情。

安全研究专家表示,这款恶意软件是他们近期所发现的唯一一款属于第四类的恶意软件。在这类恶意软件中,最为出名的就是Stuxnet震网蠕虫病毒了。震网病毒于2010年6月首次被检测出来,当时这一蠕虫病毒破坏了伊朗核设施中将近一千多台离心机。据了解,震网病毒是美国和以色列共同开发出来的,但是这两个国家都没有正式承认他们参与了这一病毒的研发工作。

震网病毒又名Stuxnet病毒,是一个席卷全球工业界的病毒。该病毒是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,以及国家电网等。作为世界上首个网络“超级破坏性武器”,Stuxnet计算机病毒已经成功感染了全球超过 45000个网络,其中伊朗遭到的攻击最为严重,伊朗境内有60%的个人电脑感染了这种病毒。计算机安防专家认为,该病毒是有史以来最高端的“蠕虫”病毒。

FireEye的安全研究团队并不清楚到底是谁创造出了“Irongate”,而且这一恶意软件的实际目的也不得而知。但是安全研究专家认为,这款恶意软件仅仅只会对模拟真实设备的软件产生作用。

虽然如此,但是安全研究人员仍然认为这一恶意软件的很多特点都值得大家注意。

比如说,安全研究专家表示,这一恶意软件可以记录下工业控制系统五秒时间内的常规控制活动,然后不断重放这些操作控制,以此来欺骗控制室中的操作人员,让他们认为工业控制系统的运转一切正常。

与此同时,操作人员只会在他的屏幕中看到控制系统的正常活动,该恶意软件能够替换目标系统中的文件,并改变西门子控制系统中的温度数据和压力数据。

Stephen Ward是安全公司FireEye的官方新闻发言人,他表示:“工业控制系统的操作人员需要对物理设备进行监视,以保证这些设备能够稳定运行。但是当这些设备遭到了黑客攻击之后,这款恶意软件仍然能够让控制系统的操作人员认为所有设备都处于正常运转状态。因此,控制人员就无法对系统的异常情况进行及时地响应和处理,这将会是一件非常可怕的事情。”

目前,公司的安全研究专家们还没有发现任何关于该恶意软件作者的线索。

FireEye团队的安全研究专家Dan Scali认为:“该恶意软件很可能是攻击者所进行的研究活动,又或者可能是攻击者正在为将来所要发动的攻击而进行的某种攻击测试。”

他还补充说到:“因为我们检测到了这种类型的安全威胁,所以无论攻击者的真正目的到底是什么,这都表明我们在工业控制系统这一领域中仍然面临着巨大的安全挑战。”

安全研究团队的另一名专家Rob Caldwell则表示,目前还没有任何迹象可以表明该恶意软件已经被用于真实的攻击活动中。

安全研究人员在VirusTotal(谷歌的子公司)的数据库系统中发现了这一恶意软件。而极具讽刺意味的事情就是,VirusTotal是一个提供免费的可疑文件分析服务的网站,它与传统杀毒软件的不同之处就在于,它可以通过多种反病毒引擎来对文件进行扫描。它可以使用多种反病毒引擎对用户所上传的文件进行检测, 以判断文件是否被病毒, 蠕虫, 木马, 以及各类恶意软件所感染。

安全研究人员惊奇地发现,这一恶意软件竟然已经驻留在数据库中长达两年之久,直到现在安全研究人员才检测到了这一恶意软件。

不仅如此,Irongate还可以检测并绕过“沙箱”和系统安全保护软件,当Irongate检测到了系统沙箱时,它便会自动关闭。而且,安全研究人员还在这款恶意软件的身上发现了很多与震网病毒相类似的特点。

无论是震网病毒Stuxnet,还是神秘的Irongate,这两款恶意软件针对的都是特定的控制系统。Stuxnet针对的是纳坦兹的铀浓缩离心机控制系统,而Irongate针对的则是西门子工业控制系统。

这两款恶意软件都会替换目标系统中的重要数据文件,并修改目标设备的操作活动。震网病毒可以加速离心机的旋转速度。Irongate可以改变工业控制系统的温度和压力。

但是与震网病毒不同的是,Irongate的杀伤力并没有震网病毒那么强,Irongate只能在虚拟工业环境中运行。震网病毒是两个国家的黑客所共同研发出来的,其针对的是伊朗。而Irongate作者的实际动机目前仍不得而知。

Scali说到:“我们希望安全社区的研究人员能够为我们提供更多有关Irongate的信息。”

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 神秘恶意软件攻击西门子工业设备

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址