德國核能發電廠出現惡意軟體

 

根據報導,德國一間核能發電廠最近被發現電腦惡意軟體。這間Gundremmingen發電廠是由德國萊茵集團所營運,位在慕尼黑的西北部,據說是德國輸出最高的核能發電廠。專家確認病毒為「W32.Ramnit」和「Conficker」,出現在跟反應爐燃料傳送系統相關的發電廠單位B。不過這惡意軟體不大可能威脅到發電廠的運作,因為系統跟網際網路是隔離的。

專家們正在研究員工在不知情下使用惡意軟體所感染隨身碟而導致惡意軟體進入核能發電廠系統的可能性。最近的報告顯示這惡意軟體出現在18個可移除裝置上,主要是USB隨身碟並且「與發電廠的作業系統分開維護」。

雖然德國聯邦辦公室資訊安全部門(BSI)在進行此調查,有一些安全分析還在進行中,但這也讓網路安全警報升高。在一份聲明中,Gundremmingen核能發電廠的發言人Tobias Schmidt指出,「控制核能發電的是類比系統,因此不會受網路威脅影響。這些系統設計成具備安全功能來保護它們免於被操縱變動。Continue reading “德國核能發電廠出現惡意軟體”

關鍵基礎建設遭到攻擊:IT 和 ICS 網路整合的弱點

電力 停電

關鍵基礎建設遭到網路犯罪攻擊的頻率和複雜度在過去十年以來一直不斷上升。我們的 2015 年「美洲關鍵基礎建設網路安全」(Cyber Security of Critical Infrastructures in Americas) 報告調查了 20 個國家超過 575 家的政府與民間企業,結果令人大開眼界。有 53% 的受訪者認為去年專門針對關鍵基礎建設 (Critical Infrastructure,簡稱 CI) 的網路攻擊比以往更多,另有 76% 表示這類攻擊越來越複雜。更重要的是,有 44% 認為他們曾遭到惡意的刪除與破壞式攻擊。

以關鍵基礎建設為目標的網路攻擊在 2015 年 12 月 23 日烏克蘭大斷電到達重大里程碑,歹徒使用惡意程式對兩座烏克蘭主要電力輸送站發動廣泛、精密的攻擊。此攻擊造成了 80,000 用戶停電六小時,並且造成至少七座 110 kV 和 23 座 35 kV 的次級電力輸送站停擺。 Continue reading “關鍵基礎建設遭到攻擊:IT 和 ICS 網路整合的弱點”

造成烏克蘭大停電的惡意程式,不只威脅能源產業

導致12月兩起烏克蘭電力設施中斷的攻擊者,可能也曾試圖對烏克蘭礦業公司及大型鐵路公司進行類似攻擊。

【延伸閱讀:第一起由惡意軟體造成的6小時大斷電,導致烏克蘭數十萬戶住家停電】

 

這證明造成烏克蘭停電事件有關的惡意程式BlackEnergy不僅只是能源產業的問題;而延伸成為各產業的威脅,不管是公共事業和私營企業都應該意識到並準備好保護自己。雖然上述攻擊的動機一直是被重度炒作的話題,其主要目的似乎是為了癱瘓烏克蘭公共和關鍵基礎設施,可能是出自於政治動機。

我們檢視原有的入侵指標有了這些發現,包括BlackEnergy偵察和橫向移動工具及KillDisk(磁碟清除惡意軟體)等。趨勢科技追查與此事件相關的其他感染或惡意軟體。我們很快就發現Prykarpattya Oblenergo和Kyivoblenergo並非此最新BlackEnergy攻擊活動的唯一目標。

根據公開來源情報(OSINT)和趨勢科技主動式雲端截毒服務  Smart Protection Network所取得的資料,我們發現BlackEnergy和KillDisk可能也被用來攻擊烏克蘭一家大型礦業公司及一家大型鐵路公司。此外,礦業和鐵路公司所感染的惡意軟體可能與兩起電力設施攻擊中所用的BlackEnergy和KillDisk使用相同的基礎設施。

 

大型烏克蘭礦業公司的相關惡意軟體

在趨勢科技的調查過程中,我們看到攻擊烏克蘭電力設施的BlackEnergy樣本也被用來攻擊烏克蘭礦業公司。惡意軟體amdide.sys(SHA1值:2D805BCA41AA0EB1FC7EC3BD944EFD7DBA686AE1)似乎在2015年11月就被用來感染其目標。其他被用來攻擊烏克蘭電力設施及礦業公司的樣本有: Continue reading “造成烏克蘭大停電的惡意程式,不只威脅能源產業”

第一起由惡意軟體造成的6小時大斷電,導致烏克蘭數十萬戶住家停電

在2015年進入尾聲時出現一起特別的事件,烏克蘭的伊萬諾-弗蘭科夫斯克地區有數十萬戶住家,相當於當地一半的住宅,籠罩在無電力供應的黑暗之下。這起事件跟11月時烏克蘭民族主義分子在克里米亞半島進行破壞造成停電並沒有關係。根據研究人員表示,這次事件是由系統內的惡意軟體造成,導致12月23日出現6小時的電力中斷。

蠟燭

 

根據惡意軟體研究人員Robert Lipovsky,烏克蘭西部的電力公司Prykarpattyaoblenergo是唯一提供相關詳情的公司,而有兩家電力公司也受到類似惡意軟體的影響。

烏克蘭情報單位認為這起停電事件跟俄羅斯有關,因為兩國間正在進行軍事和政治上的鬥爭,調查指出是惡意軟體造成了這次的停電事件。網路安全專家Robert M. Lee在其文章中指出,「這惡意軟體是一個32位元的Windows執行檔,其模組化特質顯示這是個更加複雜惡意軟體的模組之一。」

不久後,Lee與趨勢科技的前瞻性威脅研究人員Kyle Wilhoit協調取得樣本,確認該惡意軟體具備抹除能力會損害受感染系統。在Lee的初步調查後不久,有許多分析及研究人員證實這些電力公司確實受到網路攻擊,讓此次事件成為第一起由惡意軟體引起的停電。

與其他分析及研究人員的見解一致,Wilhoit分享道:「我們看到第一起公開發布惡意軟體導致SCADA-資料蒐集與監控系統(supervisory control and data acquisition;SCADA)設備停擺的消息。令人憂心,下一個受害的是什麼產業?更增加了它的神秘感。」

「我們所知道的是,Prykarpattyaoblenergo的停電是由惡意軟體所造成。我們也知道這惡意軟體不僅針對Prykarpattyaoblenergo,至少還有一個烏克蘭的廣播公司。在目前看來,受害者似乎都在烏克蘭,沒有出現在其他的地方,」Wilhoit補充說明。 Continue reading “第一起由惡意軟體造成的6小時大斷電,導致烏克蘭數十萬戶住家停電”

< 第二季資安報告 >公共建設、政府機關的攻擊與 APT 成為本季主流

趨勢科技發表2015 年第二季資訊安全總評季報
揭露針對公共建設、政府機關的攻擊與 APT 成為本季主流
民航客機、公共網站及行動裝置成駭客攻擊目標 單筆個資黑市價格最高達美金250 元

【2015 年 8 月 26 日台北訊】2015 年第二季充斥著各種重大漏洞和駭客攻擊,網路犯罪集團的攻擊手法越來越出人意料,並且開始滲透及攻擊一些人們通常毫無警覺的生活科技。針對這些發展情勢,今日發表的趨勢科技(東京證券交易所股票代碼:4704) 第二季資訊安全總評季報「新興浪潮:危及公共建設安全的最新駭客攻擊」(A Rising Tide: New Hacks Threaten Public Technologies) 中針對駭客攻擊工具及手法的演進如何讓歹徒從網路犯罪當中獲得最大的投資報酬有詳盡的分析。

病毒警告 警訊

趨勢科技技術長 Raimund Genes 指出:「第二季,我們發現威脅情勢開始轉變,網路犯罪集團的技巧越來越純熟、越來越有創意,除了強化現有攻擊手法之外,更將手法應用到新的途徑。一般社會大眾再也不能輕忽網路犯罪威脅的存在。本季我們已見識到網路攻擊的破壞潛力,它們已不再只是單純的軟體問題,就連飛機、智慧型汽車以及電視台都可能遭到攻擊。」

駭客開始採取更有策略的作法與更純熟的技巧,並且更仔細篩選目標來提升其成功率。幾種傳統手法的攻擊案例暴增,即反映出這個現象,例如:採用 Angler 攻擊套件的案例增加 50%、漏洞攻擊套件整體威脅數量增加 67%、CryptoWall勒索軟體 Ransomware受害目標多數集中在美國 (占 79% 的感染案例) 等等。

此外,政府機關也在第二季見識到網路攻擊的驚人威力,美國國稅局 (Internal Revenue Service,簡稱 IRS) 和美國人事管理局 (OPM) 分別在五月和六月發生大規模資料外洩事件。OPM 外洩事件是至今有史以來規模最大的一起資料外洩,約有 2,100 萬人身分識別資料遭到曝光。其他政府機構也同樣遭到各種威脅攻擊,包括:採用巨集惡意程式的APT攻擊、新的幕後操縱 (C&C) 伺服器,以及 Pawn Storm 持續利用最新零時差漏洞發動攻擊。

Continue reading “< 第二季資安報告 >公共建設、政府機關的攻擊與 APT 成為本季主流”

超限戰專家:攻擊伊朗核電廠病毒Stuxnet與其煙幕彈Conficker

作者:趨勢科技全球安全研究副總裁Rik Ferguson

我剛剛讀了篇路透社的新聞報導,裡面有關於備受推崇的「超限戰專家」 – John Bumgarner談到Conficker是被製作跟散播出來做為全球性的煙幕彈,去掩蓋真正的攻擊 –對伊朗核電廠使用的 Stuxnet

Bumgarner聲稱,一開始的偵查階段是在2007年透過Duqu去確認之後Stuxnet
的攻擊目標。到了2008年11月,Conficker 開始被散播到全球去盡可能的感染更多電腦。當這些 Conficker中毒電腦回報時,如果受害者電腦是位在特定的位置(伊朗),就會被標記起來做為以後Stuxnet的目標。他進一步指出,Conficker 對伊朗之外的電腦並沒有造成損害,而4月1日這惡名昭彰的「發動日期」(出現在2009年3月的第三個變種)是用來將 Stuxnet植入那些位於伊朗合適位置的機器內。

0401

以下是Bumgarner用來佐證他說詞的證據,但是它們對我來說都不夠有力:

1. StuxnetConficker都是「前所未見的複雜」,所以他認為它們是有關連的。

2. StuxnetConficker都用一樣的系統漏洞來感染電腦( MS08-67

3. 沒講明的「關鍵日期」出現在沒講明的「不同版本」的ConfickerStuxnet的時間戳記內是重疊的,也「讓他可以確認攻擊發動的日子是2009年4月1日」。

4. 2009年4月1日是伊朗伊斯蘭共和國宣布建國30週年紀念日。其他未講明的日子也和「伊朗總統內賈德說他的國家將不顧國際社會反對,繼續追求核計劃」還有「他在紐約哥倫比亞大學發表爭議性演講」等日子有關。

至於這攻擊是如何做收尾的,最終的目標機器還坐落在它該在的地方 –核電廠裡面,Bumgarner也說在這時候惡意軟體還沒有進到目標機器上。因此為了要跨過這最後一道鴻溝,Stuxnet被設計來感染隨身碟,然後期望某人會拿著曾經插入 Conficker/Stuxnet中毒電腦的隨身碟,然後將它插到位於核電廠隔離網路的機器上。走到這一步時,Bumgarner說:「這就將軍啦」。

唉,這什麼跟什麼呀!我實在沒有辦法相信這些說法。讓我列舉幾個原因

1. 如果在伊朗以外的目標都是多餘的,那為什麼第一代的Conficker會只排除烏克蘭的電腦?為什麼這個限制之後被拿掉?為什麼不一開始就只感染伊朗的電腦?而且說感染Conficker的電腦沒事也是不正確的。Conficker曾被用來派送假防毒軟體,而且 它跟Waledac殭屍網路也有關係

2. ConfickerStuxnet
的複雜程度出現在不同的地方。原始版本的Conficker只用了一個已經被修補的Windows系統漏洞來散播,第二個變種加上了透過隨身碟和用常見密碼清單來做暴力密碼破解來散播,這些作法都不大複雜。這惡意軟體複雜的地方在於它會隨機產生網域來做為可能的C&C伺服器位置。但是這些都可以很快的被反組譯和破解。而到了 Conficker的第三個變種,這些傳播方法都被拿掉了,直到第四個變種才再次加回來。Stuxnet
相較起來就複雜得多,它利用了零時差弱點攻擊,而且還需要有SCADA系統和核電廠的專業知識。

3. 關於為什麼Stuxnet病毒的製造者也選擇用MS08-67系統漏洞,我有一個理論。因為有強烈的事實證明它很有效,Conficker
在出現三年之後還是企業網路中最常見的病毒感染。不但你幹嘛製造兩種惡意軟體使用相同的漏洞來散播,卻還是要用其中一個來下載另外一個呢?

4. 4月1日的「發動日期」直接寫在Conficker的第三個變種的程式碼內。並不需要未講明檔案上的未講明時間戳記來告訴你。

5. 4月1日同時也是很多國家的愚人節,它也是Apple成立的日子,英國內政部重大組織犯罪署(Serious Organised Crime
Agency)成立的日子,愛爾蘭的生日,東德軍隊封鎖西柏林的日子。你知道我的意思嗎?至於什麼伊朗總統內賈德說他的國家會繼續追求核計劃,當然了,隨便任何一天也都可以掰出個對應的事件出來…

最後還有這艱難的結尾方式,依靠不知名的人,將隨身碟插到感染Confuxnet的電腦上,在毫無所覺的情況下再將同一個隨身碟插到核電廠的可編成控制器(PLC)上?看看我們談到的這一切「前所未有的複雜性」,這成功的機會不會太渺小了點嗎?也太靠運氣了些。

抱歉了,Bumgarner先生,它可能是真的,當然它的確可能。也可能是你被報導錯誤了,但是看看你到目前為止列出的那些證據,我就是無法接受。

如果我是一個擁有這麼多資源的政府組織,那麼我不會直接找特務拿著裝有Stuxnet病毒的隨身碟去目標設施就好了嗎?

我知道,這篇文章並沒有出現Aliens(外星人)。

@原文出處:Conficker, Duqu, Stuxnet, Aliens, Confuxnet!

@延伸閱讀:

搜尋超級電腦病毒Stuxnet,搜尋結果頁面夾帶更多守株待兔惡意攻擊

Stuxnet 蠕蟲藉著USB隨身碟等感染電力公司等公共基礎建設電腦和個人電腦

2010年重大資安事件回顧:Stuxnet的喧擾與真相
DOWNAD/Conficker 冬眠了嗎?超過一億個 IP 蠢蠢欲動

假微軟名義發送的 Conflicker.B病毒警告信,真中毒
DOWNAD/Conflicker是愚人節的惡作劇?

繼DOWNAD/Conflicker 之後,又有蠕蟲攻擊同一漏洞

DOWNAD/Conficker一歲生日回顧


免費下載 防毒軟體 PC-cillin 試用版下載