分類: 公共建設資安

Aurora 電網漏洞與 BlackEnergy 木馬程式

趨勢科技 TrendMicro

最近在一些工業物聯網 (IIoT) 資安研討會上,Aurora 漏洞持續成為眾人話題。與會者都在問:「我們國家的電網是否安全無虞?我們如何保護電網安全?Aurora 到底是什麼?」這篇文章就是要來探討一下 Aurora 漏洞以及專門利用該漏洞的 BlackEnergy 攻擊。

2007 年 3 月,美國能源部 (US Department of Energy) 展示了 Aurora 漏洞 (請參閱這段來自 CNN 的實測影片)。影片中發生了什麼事?

基本上,發電機內部是由一個永久性磁鐵所構成的轉子在一個由線圈構成的定子當中持續旋轉來產生電力。而帶動轉子旋轉的動力可以是水力 (水力發電機)、燃油 (柴油發電機)、蒸氣 (核能發電機) 或是風力 (風力發電機)。發電機所產生的電力會匯集到電網,然後再輸送至全國各地,提供民生及商業用電所需。

其他類型的發電設備同樣也要將電力匯集到電網。美國電網所提供的電力屬於 60 Hz 的交流電,這表示電壓的正負變化為每秒 60 次。只要發電機的相位與電網同步,其電力就能順利地併入電網的總電量當中。但萬一發電機輸出的電力與電網發生相位不同步的情況,就會無法將電力併入電網。 繼續閱讀

德國核能發電廠出現惡意軟體

趨勢科技 TrendMicro

 

根據報導,德國一間核能發電廠最近被發現電腦惡意軟體。這間Gundremmingen發電廠是由德國萊茵集團所營運,位在慕尼黑的西北部,據說是德國輸出最高的核能發電廠。專家確認病毒為「W32.Ramnit」和「Conficker」,出現在跟反應爐燃料傳送系統相關的發電廠單位B。不過這惡意軟體不大可能威脅到發電廠的運作,因為系統跟網際網路是隔離的。

專家們正在研究員工在不知情下使用惡意軟體所感染隨身碟而導致惡意軟體進入核能發電廠系統的可能性。最近的報告顯示這惡意軟體出現在18個可移除裝置上,主要是USB隨身碟並且「與發電廠的作業系統分開維護」。

雖然德國聯邦辦公室資訊安全部門(BSI)在進行此調查,有一些安全分析還在進行中,但這也讓網路安全警報升高。在一份聲明中,Gundremmingen核能發電廠的發言人Tobias Schmidt指出,「控制核能發電的是類比系統,因此不會受網路威脅影響。這些系統設計成具備安全功能來保護它們免於被操縱變動。繼續閱讀

關鍵基礎建設遭到攻擊:IT 和 ICS 網路整合的弱點

趨勢科技 TrendMicro

電力 停電

關鍵基礎建設遭到網路犯罪攻擊的頻率和複雜度在過去十年以來一直不斷上升。我們的 2015 年「美洲關鍵基礎建設網路安全」(Cyber Security of Critical Infrastructures in Americas) 報告調查了 20 個國家超過 575 家的政府與民間企業,結果令人大開眼界。有 53% 的受訪者認為去年專門針對關鍵基礎建設 (Critical Infrastructure,簡稱 CI) 的網路攻擊比以往更多,另有 76% 表示這類攻擊越來越複雜。更重要的是,有 44% 認為他們曾遭到惡意的刪除與破壞式攻擊。

以關鍵基礎建設為目標的網路攻擊在 2015 年 12 月 23 日烏克蘭大斷電到達重大里程碑,歹徒使用惡意程式對兩座烏克蘭主要電力輸送站發動廣泛、精密的攻擊。此攻擊造成了 80,000 用戶停電六小時,並且造成至少七座 110 kV 和 23 座 35 kV 的次級電力輸送站停擺。 繼續閱讀

造成烏克蘭大停電的惡意程式,不只威脅能源產業

趨勢科技 TrendMicro

導致12月兩起烏克蘭電力設施中斷的攻擊者,可能也曾試圖對烏克蘭礦業公司及大型鐵路公司進行類似攻擊。

【延伸閱讀:第一起由惡意軟體造成的6小時大斷電,導致烏克蘭數十萬戶住家停電】

 

這證明造成烏克蘭停電事件有關的惡意程式BlackEnergy不僅只是能源產業的問題;而延伸成為各產業的威脅,不管是公共事業和私營企業都應該意識到並準備好保護自己。雖然上述攻擊的動機一直是被重度炒作的話題,其主要目的似乎是為了癱瘓烏克蘭公共和關鍵基礎設施,可能是出自於政治動機。

我們檢視原有的入侵指標有了這些發現,包括BlackEnergy偵察和橫向移動工具及KillDisk(磁碟清除惡意軟體)等。趨勢科技追查與此事件相關的其他感染或惡意軟體。我們很快就發現Prykarpattya Oblenergo和Kyivoblenergo並非此最新BlackEnergy攻擊活動的唯一目標。

根據公開來源情報(OSINT)和趨勢科技主動式雲端截毒服務  Smart Protection Network所取得的資料,我們發現BlackEnergy和KillDisk可能也被用來攻擊烏克蘭一家大型礦業公司及一家大型鐵路公司。此外,礦業和鐵路公司所感染的惡意軟體可能與兩起電力設施攻擊中所用的BlackEnergy和KillDisk使用相同的基礎設施。

 

大型烏克蘭礦業公司的相關惡意軟體

在趨勢科技的調查過程中,我們看到攻擊烏克蘭電力設施的BlackEnergy樣本也被用來攻擊烏克蘭礦業公司。惡意軟體amdide.sys(SHA1值:2D805BCA41AA0EB1FC7EC3BD944EFD7DBA686AE1)似乎在2015年11月就被用來感染其目標。其他被用來攻擊烏克蘭電力設施及礦業公司的樣本有: 繼續閱讀

第一起由惡意軟體造成的6小時大斷電,導致烏克蘭數十萬戶住家停電

趨勢科技 TrendMicro

在2015年進入尾聲時出現一起特別的事件,烏克蘭的伊萬諾-弗蘭科夫斯克地區有數十萬戶住家,相當於當地一半的住宅,籠罩在無電力供應的黑暗之下。這起事件跟11月時烏克蘭民族主義分子在克里米亞半島進行破壞造成停電並沒有關係。根據研究人員表示,這次事件是由系統內的惡意軟體造成,導致12月23日出現6小時的電力中斷。

蠟燭

 

根據惡意軟體研究人員Robert Lipovsky,烏克蘭西部的電力公司Prykarpattyaoblenergo是唯一提供相關詳情的公司,而有兩家電力公司也受到類似惡意軟體的影響。

烏克蘭情報單位認為這起停電事件跟俄羅斯有關,因為兩國間正在進行軍事和政治上的鬥爭,調查指出是惡意軟體造成了這次的停電事件。網路安全專家Robert M. Lee在其文章中指出,「這惡意軟體是一個32位元的Windows執行檔,其模組化特質顯示這是個更加複雜惡意軟體的模組之一。」

不久後,Lee與趨勢科技的前瞻性威脅研究人員Kyle Wilhoit協調取得樣本,確認該惡意軟體具備抹除能力會損害受感染系統。在Lee的初步調查後不久,有許多分析及研究人員證實這些電力公司確實受到網路攻擊,讓此次事件成為第一起由惡意軟體引起的停電。

與其他分析及研究人員的見解一致,Wilhoit分享道:「我們看到第一起公開發布惡意軟體導致SCADA-資料蒐集與監控系統(supervisory control and data acquisition;SCADA)設備停擺的消息。令人憂心,下一個受害的是什麼產業?更增加了它的神秘感。」

「我們所知道的是,Prykarpattyaoblenergo的停電是由惡意軟體所造成。我們也知道這惡意軟體不僅針對Prykarpattyaoblenergo,至少還有一個烏克蘭的廣播公司。在目前看來,受害者似乎都在烏克蘭,沒有出現在其他的地方,」Wilhoit補充說明。 繼續閱讀