Havex病毒开始对工业控制系统感染入侵

在过去一年，我们对Havex恶意程序家族及其背后的组织保持了高度的关注。Havex被认为以不同工业领域为目标进行攻击的恶意软件，并且在最初的报告中，该恶意软件对能源行业尤为感兴趣。

Havex的主要构成为通用的远程木马(RemoteAccessTrojan，RAT)和用PHP编写的服务器程序。可以在服务器的代码中看到“Havex”这个名字。

在2014年的春天，我们发现Havex开始对工业控制系统(IndustrialControlSystems，ICS)有特殊的兴趣，该恶意软件背后的组织使用了一个创新型木马来接近目标。攻击者首先把ICS/SCADA制造商的网站上用来供用户下载的相关软件感染木马病毒，当用户下载这些软件并安装时实现对目标用户的感染。

我们收集并分析了Havex的88个变种，主要分析了它们的访问目标、从哪收集数据、网络和机器。这一分析发现Havex通信用的C&C服务器多达146个，并且有1500多个IP地址向C&C服务器通信，从而识别最终的受害者。攻击者利用被攻陷的网站、博客作为C&C服务器。

我们还发现了一个额外的功能组件，攻击者利用此组件从应用于ICS/SCADA系统中的机器上盗取数据。这意味着攻击者不仅仅对目标公司的网络感兴趣，还有对这些公司的ICS/SCADA系统进行控制的动机。我们目前对这一动机的缘由还不太清楚。

利用垃圾邮件和漏洞工具是相当简单的传播机制，我们对此不进行深入分析。更值得关注的第三中方式，它可以被看做是水坑式攻击(Water-holeattack)，因为攻击者选择ICS的供应商作为中间目标，来实现其对最终目标的攻击。

攻击者利用网站的漏洞，入侵了网站，并将正常的供用户下载的安装软件替换为包含木马的安装软件。我们的研究者发现有三个厂商的主站被这种方式被攻入，在网站上提供的软件安装包中包含了HavexRAT。我们怀疑还会有更多类似的情况，但是尚未确定。

根据他们网站的内容，这三家公司都是开发面向工业的设备和软件，这些公司的总部位于德国、瑞士和比利时。其中两个供应商为ICS系统提供远程管理软件，第三个供应商为开发高精密工业摄像机及相关软件。