国家支持的针对欧洲能源公司的SCADA恶意软件

SentinelOne实验室的研究人员发现，这种已经感染了至少一家欧洲能源公司的恶意软件非常狡猾和先进，很可能被认为是一个富裕国家的作品。

这个名为“SFG”的恶意软件包含约280千字节的代码，拥有大量在普通恶意软件样本中罕见的工具。这需要“极端措施“在它落下有效载荷之前，巧妙地、秘密地避开大量安全防御。
恶意软件会逐个卸载所有进程，直到最终安全卸载所有进程。它还对代码的关键特性进行加密，以便无法发现和分析。如果它感觉到自己正在沙箱环境中运行，它将不会自动执行。

基于Windows的恶意软件甚至特别关注目标组织内部运行的面部识别、指纹扫描仪和其他高级生物特征访问控制系统等功能。

为了获得对受感染计算机的管理访问权，恶意软件样本对微软分别于2014年10月和2015年5月修补的Windows漏洞（CVE-2014-4113和CVE-2015-1701）使用了一对权限提升漏洞攻击。

哨兵队首席安全官乌迪·沙米尔说：该恶意软件具有民族国家攻击的所有特征，因为它具有极高的复杂度和创建这种高级软件的相关成本"。

一旦获得对计算机的管理控制，恶意软件就会调查连接的网络，向其运营商报告有关受感染网络的信息，并等待进一步指示，从而为攻击者提供目标工业控制系统的网络后门。

然后，该后门可用于在系统上安装其他恶意软件，以进行更详细的间谍活动或攻击“提取数据或可能关闭能源网，”安全研究人员警告说。

SFG恶意软件与之前的一个名为弗蒂姆– 另一个高度复杂的恶意软件在5月被发现–；它还能够躲避防病毒和其他安全防御。

创建恶意软件所需的时间、精力和资源意味着这是一个为富裕国家政府工作的黑客团队的工作，尽管研究人员没有透露攻击背后的国家。

Shamir写道：“这似乎是多个开发人员的工作，他们反向设计了十几个防病毒解决方案，并竭尽全力逃避检测，包括导致[防病毒]软件在用户未收到警报的情况下停止工作”。

“这种性质的攻击需要大量资金和专有技术才能实施，而且很可能是国家发起的攻击的结果，而不是网络犯罪集团”。

你可以在安全公司SentinelOne周二发布的一份报告中找到有关SFG恶意软件的更多技术细节。