在過去一年,對重要基礎設施所進行的攻擊吸引了大眾的注意。2015年12月對三家烏克蘭地區電廠所進行的遠端網路入侵造成了約22,5000戶停電。惡意軟體(像是 BlackEnergy)被開發來專門針對系統監控和資料採集(SCADA)系統。更具體地說,敵人專注在取得對人機界面(HMI)的控制,這是管理操作控制系統的入口。
經由分析ICS-CERT所發布的公告及我們零時差計畫(ZDI)內全世界研究人員所提供的漏洞,就能夠清楚地了解受攻擊面是人機介面(HMI)軟體,下圖強調了這些發現:
圖1、SCADA 人機介面(HMI)軟體的常見漏洞 繼續閱讀
關鍵基礎建設遭到網路犯罪攻擊的頻率和複雜度在過去十年以來一直不斷上升。我們的 2015 年「美洲關鍵基礎建設網路安全」(Cyber Security of Critical Infrastructures in Americas) 報告調查了 20 個國家超過 575 家的政府與民間企業,結果令人大開眼界。有 53% 的受訪者認為去年專門針對關鍵基礎建設 (Critical Infrastructure,簡稱 CI) 的網路攻擊比以往更多,另有 76% 表示這類攻擊越來越複雜。更重要的是,有 44% 認為他們曾遭到惡意的刪除與破壞式攻擊。
以關鍵基礎建設為目標的網路攻擊在 2015 年 12 月 23 日烏克蘭大斷電到達重大里程碑,歹徒使用惡意程式對兩座烏克蘭主要電力輸送站發動廣泛、精密的攻擊。此攻擊造成了 80,000 用戶停電六小時,並且造成至少七座 110 kV 和 23 座 35 kV 的次級電力輸送站停擺。 繼續閱讀
導致12月兩起烏克蘭電力設施中斷的攻擊者,可能也曾試圖對烏克蘭礦業公司及大型鐵路公司進行類似攻擊。
【延伸閱讀:第一起由惡意軟體造成的6小時大斷電,導致烏克蘭數十萬戶住家停電】
這證明造成烏克蘭停電事件有關的惡意程式BlackEnergy不僅只是能源產業的問題;而延伸成為各產業的威脅,不管是公共事業和私營企業都應該意識到並準備好保護自己。雖然上述攻擊的動機一直是被重度炒作的話題,其主要目的似乎是為了癱瘓烏克蘭公共和關鍵基礎設施,可能是出自於政治動機。
我們檢視原有的入侵指標有了這些發現,包括BlackEnergy偵察和橫向移動工具及KillDisk(磁碟清除惡意軟體)等。趨勢科技追查與此事件相關的其他感染或惡意軟體。我們很快就發現Prykarpattya Oblenergo和Kyivoblenergo並非此最新BlackEnergy攻擊活動的唯一目標。
根據公開來源情報(OSINT)和趨勢科技主動式雲端截毒服務 Smart Protection Network所取得的資料,我們發現BlackEnergy和KillDisk可能也被用來攻擊烏克蘭一家大型礦業公司及一家大型鐵路公司。此外,礦業和鐵路公司所感染的惡意軟體可能與兩起電力設施攻擊中所用的BlackEnergy和KillDisk使用相同的基礎設施。
大型烏克蘭礦業公司的相關惡意軟體
在趨勢科技的調查過程中,我們看到攻擊烏克蘭電力設施的BlackEnergy樣本也被用來攻擊烏克蘭礦業公司。惡意軟體amdide.sys(SHA1值:2D805BCA41AA0EB1FC7EC3BD944EFD7DBA686AE1)似乎在2015年11月就被用來感染其目標。其他被用來攻擊烏克蘭電力設施及礦業公司的樣本有: 繼續閱讀
在2015年進入尾聲時出現一起特別的事件,烏克蘭的伊萬諾-弗蘭科夫斯克地區有數十萬戶住家,相當於當地一半的住宅,籠罩在無電力供應的黑暗之下。這起事件跟11月時烏克蘭民族主義分子在克里米亞半島進行破壞造成停電並沒有關係。根據研究人員表示,這次事件是由系統內的惡意軟體造成,導致12月23日出現6小時的電力中斷。
根據惡意軟體研究人員Robert Lipovsky,烏克蘭西部的電力公司Prykarpattyaoblenergo是唯一提供相關詳情的公司,而有兩家電力公司也受到類似惡意軟體的影響。
烏克蘭情報單位認為這起停電事件跟俄羅斯有關,因為兩國間正在進行軍事和政治上的鬥爭,調查指出是惡意軟體造成了這次的停電事件。網路安全專家Robert M. Lee在其文章中指出,「這惡意軟體是一個32位元的Windows執行檔,其模組化特質顯示這是個更加複雜惡意軟體的模組之一。」
不久後,Lee與趨勢科技的前瞻性威脅研究人員Kyle Wilhoit協調取得樣本,確認該惡意軟體具備抹除能力會損害受感染系統。在Lee的初步調查後不久,有許多分析及研究人員證實這些電力公司確實受到網路攻擊,讓此次事件成為第一起由惡意軟體引起的停電。
與其他分析及研究人員的見解一致,Wilhoit分享道:「我們看到第一起公開發布惡意軟體導致SCADA-資料蒐集與監控系統(supervisory control and data acquisition;SCADA)設備停擺的消息。令人憂心,下一個受害的是什麼產業?更增加了它的神秘感。」
「我們所知道的是,Prykarpattyaoblenergo的停電是由惡意軟體所造成。我們也知道這惡意軟體不僅針對Prykarpattyaoblenergo,至少還有一個烏克蘭的廣播公司。在目前看來,受害者似乎都在烏克蘭,沒有出現在其他的地方,」Wilhoit補充說明。 繼續閱讀
2010年間最受安全產業討論的議題 Stuxnet(編按:2010 年11月Stuxnet蠕蟲攻擊伊朗核電廠,鎖定水庫、油井、電廠等重要基礎設施)。大多數 Stuxnet 的攻擊目標出現在伊朗,引發意圖破壞核子設施的陰謀論說。)。毫無疑問的是,Stuxnet是一款高度精良的惡意軟體,其資源,不管是在時間,金錢或人力上其皆十分充裕地被運用來發展。但就衝擊度而言,多數的使用者並未受顯明的影響。沒錯,Stuxnet的確散佈到世界上許多的系統中,但對幾乎是所有受到感染的系統來說,它並不是個大問題。它不偷盜資料,不促銷假防毒軟體( Fake AV),也不會大量傳送垃圾訊息。
說 Stuxnet 預告了惡意軟體威脅影響「真實世界」機構的新世代來臨,也不完全正確。早在2003年,Slammer蠕蟲就打擊了俄亥俄州一個核能機構,並關閉了一個監視系統。而 DOWNADConficker 蠕蟲攻擊了多個高知名度機構如醫院(甚至影響了MRI磁核共振造影),執法單位,甚至不同的軍事機構。
要說 Stuxnet,可以說它的確劃下了第一次有人決定值得花時間,刻意以特定供應商的SCADA系統監控與資料擷取功能軟體(Supervisor Control And Data Acqusition,簡稱SCADA)平台做為攻擊目標。技術從過去就已經存在,欠缺的是進行的動力。
這類的惡意軟體攻擊數量少也遠在今日的威脅情勢之外。目前資料竊盜仍是最大的問題。趨勢科技每日所發現的惡意軟體中,大多數皆屬資料偷盜型惡意軟體。今日所見的每一件Stuxnet感染,皆相對地會發現上千件牽涉到偷盜資料的惡意軟體,如 Zeus 和 SpyEye。
從 Stuxnet我們可學到兩個教訓。對那些和被 Stuxnet視為目標類似的企業控制系統來說,這應該是一記警鐘。Stuxnet 攻擊的「軟」目標皆未受到良好的防護。這些系統之所以未受到良好防護,是因為他們是位在網路的「內部」,可能被認為受到區域防護業已足夠。網路其實和其最弱的環節一樣安全。因此,企業控制系統中的電腦和網路皆需要全面強化。
第三者的應用程式最常被做為入侵破壞的目標,例如 Adobe Flash 和 Adobe Reader,因此如果不能將這兩者自系統中移除的話,最好是將兩者隨時更新。對可移除式裝置如USB記憶碟的攻擊也不能等閒視之,且需加以防範。這將不會是迅速,簡單或便宜就可以解決的。
不過對負責重要系統的使用者而言,來自 Stuxnet 的危險必須要被放在適當的內容中。憑證竊盜軟體是遠比Stuxnet更重大的威脅。除此之外,要記得針對重要系統而來的威脅很可能目標就單只是該系統。一般的使用者更常看到的威脅類型,會是憑證竊盜和假防毒軟體類的惡意軟體。
Stuxnet終歸是享受了大量的媒體關注。它最主要的是對系統管理者在防護重要系統,甚至那些他們認為不會受惡意軟體威脅的系統,產生警告作用而非是實際的威脅。這個問題必須要被囊括在更大的惡意軟體威脅內容中,這類的威脅每日皆可見到上萬新數量的產生,絕大多數都是在偷盜使用者的資料。
文章來源:2010 in Review: The Hype and Reality of Stuxnet 作者:Ivan Macalintal (趨勢科技資安分析經理)