前言

ESET公司的研究人员详细分析了一款看似专门针对电力网的恶意软件Industroyer(“工业毁坏者”)，它被指在2016年12月用于攻击乌克兰的一所电力变电站。

ESET和ICS网络安全公司Dragos共享了一些数据，后者将这款恶意软件命名为CRASHOVERRIDE，而其使用者是ELECTRUM。

　　和乌克兰电力网攻击有关联

专门针对ICS的恶意软件非常少见，而Industroyer是已知的第四款此类恶意软件，其它三款是2010年用于攻击伊朗核实施的“震网病毒”、2015年12月用于攻击乌克兰电力网的BlackEnergy、以及主要针对欧洲组织机构的Havex。

虽然ESET和Dragos公司无法证实Industroyer/CRASHOVERRIDE就是导致2016年乌克兰基辅地区电力中断的直接原因，但很多人认为俄罗斯黑客是幕后黑手，而这两家公司基于编译日期等数据得出的结论是，攻击中使用的正是这款恶意软件。

Dragos认为ELECTRUM跟BlackEnergy (Sandworm) 组织有着直接关联，而ESET认为虽然用于2015年和2016年乌克兰攻击中的这两款恶意软件的代码之间并不存在相似性，但一些组件的理念还是类似的。

　　攻击场景

Industroyer被职位一款复杂模块恶意软件，由多个组件组成：一个后门、一个启动器、一个数据擦除器、多种工具和至少四个有效负载。这些有效负载是最有意思的组件，因为它可用于控制电路断路器。

Dragos在报告中描述的一种理论攻击场景是，恶意攻击者使用这款恶意软件在无限循环中打开闭断路器，导致变电站断路。通过在无限循环中执行命令的方式，攻击者确保目标设备的操作者无法从HMI关闭断路器。这就要求操作者干扰跟变电站的通信并手动解决这个问题，这就会导致持续数个小时的断电。

在另外一个攻击场景中，攻击者会触发断路器持续打开闭合的无限循环，从而引发防护措施导致变电站断电。专家认为针对多个站点启动这类攻击可能导致持续多天的断电。

　　Industroyer/CRASHOVERRIDE组件

这款恶意软件的主要后门组件能让攻击者在受感染系统上执行多个命令。它通过Tor网络跟C&C服务器通信并可被设置为仅在特定时间段呈现活跃状态，这样做可能是为了逃避检测。

这个组件还会部署伪装成Windows Notepad应用程序木马版本的次级后门。这个主要后门还会安装启动器组件从而触发擦除器和有效负载。这款擦除器显然是针对攻击的最后阶段设计的，从而帮助攻击者隐藏其踪迹并导致恢复受感染系统更难。这包括清除注册键并覆写ICS配置和Windows文件。

这些有效负载能让攻击者控制电路断路器、利用工业通信协议。这表明至少某些恶意软件开发人员对电力网运营和工业网络通信有着深刻理解。其它相关工具包括一款利用CVE-2015-5374的自定义内置端口扫描器和DoS工具，从而导致西门子SIPROTEC中继变得无响应。

虽然ESET和Dragos公司分析的样本可用于攻击位于欧洲和中东某些国家的其它能源组织机构，这款恶意软件可被用于攻击北美电力。Dragos公司指出虽然CRASHOVERRIDE看似旨在特别针对能源部门，但攻击者能为其它目标类型创建新模块。

(责任编辑：安博涛)