发现可能会破坏电网的危险恶意软件

现在，安全研究人员已经发现了乌克兰工业控制系统遭受网络攻击的罪魁祸首。

总部位于斯洛伐克的安全软件制造商ESET和美国关键基础设施安全公司Dragos Inc.表示，他们在野外发现了一种新的危险的恶意软件，其目标是关键的工业控制系统，能够导致停电。

被称为“工业家“或者”空中飞车“电网破坏恶意软件很可能被用于2016年12月针对乌克兰电力公司的网络攻击乌克兰人安全公司表示，这代表着关键基础设施黑客攻击的危险进展。

研究人员称，在Stuxnet和#8212之后，CrashOverRide是破坏工业控制系统的最大威胁；据称，美国和以色列在2009年开发了第一个恶意软件，用于破坏伊朗核设施。

此恶意软件不会利用任何软件缺陷进行攻击

与Stuxnet蠕虫不同，CrashOverRide恶意软件不会利用任何“零日”软件漏洞进行恶意活动；取而代之的是，它依赖于四种工业通信协议，这些协议在全球范围内用于供电基础设施、运输控制系统和其他关键基础设施系统。

CrashOverRide恶意软件可以控制几十年前设计的变电站开关和断路器，让攻击者只需关闭配电、级联故障并对设备造成更严重的损坏。

Industroyer恶意软件是一个后门，它首先安装四个有效负载组件来控制开关和断路器；然后连接到远程命令和控制服务器以接收来自攻击者的命令。

“Industroyer有效载荷展示了作者对工业控制系统的深入了解和理解。”ESET研究人员解释道。

“该恶意软件还包含一些功能，旨在使其保持在雷达之下，确保恶意软件的持久性，并在完成工作后清除自身的所有痕迹。”

因为迄今为止已经在野外发现了四个针对工业控制系统的恶意软件，包括Stuxnet、Havex、BlackEnergy和CrashOverRide；Stuxnet和CrashOverRide只设计用于破坏活动，而BlackEnergy和Havex则用于进行间谍活动。

该恶意软件的Dragos analysis[PDF]写道：“CRASHOVERRIDE框架中的功能不用于间谍活动，该恶意软件的唯一真正功能是针对可能导致断电的攻击。”。

恶意软件会导致更广泛、更持久的断电

对该恶意软件的分析表明，与乌克兰去年12月遭受的断电相比，CrashOverRide可能导致更广泛、更复杂、持续时间更长的断电。

德拉戈斯首席执行官罗伯特·M·李他说，CrashOverRide恶意软件能够导致一个国家的部分电网断电长达几天，但它不足以导致一个国家的整个电网瘫痪。
该恶意软件包括可互换的插件组件，可以将CrashOverRide更改为不同的电力设施，甚至对多个目标同时发起攻击。

德拉戈斯的论文写道：“CrashOverRide并非任何特定供应商或配置所独有，而是利用电网运营和网络通信方面的知识来产生影响；这样，它可以立即在欧洲、中东和亚洲的部分地区重新使用。”。

“CrashOverRide是可扩展的，只需进行少量定制，例如加入DNP3[分布式网络协议3]协议栈，在北美电网中也会有效。”

根据研究人员的说法，恶意软件可以被修改为针对其他类型的关键基础设施，如交通、输气管道或供水设施，以及附加的协议模块。

安全公司已经就这一危险威胁向政府当局和电网公司发出了警告，并提出了一些可能有助于他们抵御这一威胁的建议。

安全公司已经辩称，2016年的停电可能是由导致2015年停电的同一组黑客造成的；Sandworm是一个国家资助的黑客组织，据信来自俄罗斯。

德拉戈斯追踪了作为“Electrum”的CrashOverRide背后的犯罪者，并对其进行了评估通过保密渠道，Electrum非常有信心与Sandworm团队有直接联系。"

安全公司已经就这一危险威胁向政府当局和电网公司发出了警告，并提出了一些可能有助于他们抵御这一威胁的建议。