2014年专门针对工控系统的新型攻击

2014年6月25日，ICS-CERT发布了题为“ICS Focused Malware”的安全通告ICS-ALERT-14-176-02。其中通报了一种类似震网病毒的专门针对工控系统攻击的恶意代码。安全厂商F-Secure首先发现了这种恶意代码并将其作为后门命名为W32/Havex.A，F-Secure称它是一种通用的远程访问木马（RAT，即Remote Access Trojan）。

就像著名的专门设计用来破坏伊朗核项目的Stuxnet蠕虫病毒一样，Havex也是被编写来感染SCADA和工控系统中使用的工业控制软件，这种木马可能有能力禁用水电大坝、使核电站过载，甚至可以做到按一下键盘就能关闭一个国家的电网。

根据ICS-CERT、F-secure、Symentec的研究表明：网络攻击者传播Havex恶意软件方式有多种，除了利用工具包、钓鱼邮件、垃圾邮件、重定向到受感染的Web网站等传统感染方式外，还采用了“水坑式”攻击方式，即通过渗透到目标软件公司的Web站点，并等待目标安装那些合法APP的感染恶意代码的版本。

ICS-CERT的安全通告称，当前至少已发现3个著名的工业控制系统提供商的Web网站已受到该恶意代码的感染。显然，这些恶意代码的传播技术使得攻击者能够获得工控系统的访问权限，并安装相应的恶意代码（后门程序或木马）。而在安装过程中，该恶意软件会释放一个叫做“mbcheck.dll”的文件，这个文件实际上就是攻击者用作后门的Havex恶意代码。

F-Secure声称他们已收集和分析了Havex RAT的88个变种，并认为Havex及其变种多通过利用OPC标准 被用来从目标网络和机器获取权限并搜集大量数据。具体表现为：该类恶意软件会通过扫描本地网络中那些会对OPC请求做出响应的设备，来收集工业控制设备的操作系统信息、窃取存储在开发Web浏览器的密码、使用自定义协议实现不同C&C服务器之间的通信，然后把这些信息反馈到C&C服务器上（Havex的攻击原理如下图所示）。

同时FireEye公司的研究人员最近也声称发现了一个Havex的新变种，同样认为发现的Havex变种具备OPC服务器的扫描功能，并可以搜集有关联网工控设备的信息，以发回到C&C服务器供攻击者分析使用。这表明，虽然Havex及其变种最可能是被用作收集工控系统情报的工具，但攻击者应该不仅仅是对这些目标公司的系统信息感兴趣，而必然会对获取那些目标公司所属的ICS或SCADA系统的控制权更感兴趣。

最近多家安全公司的研究发现它多被用于从事工业间谍活动，其主要攻击对象是欧洲的许多使用和开发工业应用程序和机械设备的公司。