Industroyer如何破壞世界電網

ESET的安全研究人員發現了一種可能導致烏克蘭首都基輔2016年大停電的惡意軟件。去年12月中旬，一場網絡攻擊對該市北部的一個變電站造成了破壞，導致該地區停電。次攻擊發生在2015年12月烏克蘭境內許多地區的惡意軟件BlackEnergy造成重大停電一年之后，導致25萬戶家庭無電。據ESET稱，這就是相似之處的結束。ESET發現并分析了一種名為Industroyer的無關惡意軟件的樣本，這些惡意軟件可能導致2016年出現的損害類型。

BlackEnergy攻擊使用合法的遠程訪問軟件來控制運營商的工作站，切斷電源，而Industroyer則能夠直接控制變電站開關和斷路器。從技術上講，惡意軟件的潛在影響范圍從簡單地關閉電源到級聯故障和嚴重的設備物理損壞。

令人擔憂的是，它利用的通信協議并非烏克蘭能源網絡所獨有，但實際上不僅在全球范圍內用于電力供應基礎設施，而且還用于運輸，水和天然氣等關鍵系統。

ESET的高級惡意軟件研究員Anton Cherepanov 在一篇博客文章中說：“Industroyer的危險在于它使用協議的方式被設計使用，” 問題是這些協議是幾十年前設計的，當時的工業系統意味著與外界隔絕。

“因此，他們的通信協議并沒有考慮安全性。這意味著攻擊者不需要尋找協議漏洞;他們所需要的就是教惡意軟件'說'那些協議'。”

他補充說：“雖然原則上很難在不進行現場事件響應的情況下將攻擊歸咎于惡意軟件，但很有可能在2016年12月對烏克蘭電網的攻擊中使用了Industroyer。此外，惡意軟件明顯存在擁有執行攻擊的獨特功能，它包含2016年12月17日停電當天的激活時間戳。“

在ESET披露其對Industroyer的研究之后，Imperva的首席產品策略師Terry Ray表示：“我們開始看到基礎設施攻擊的上升，而對于Industroyer，攻擊者似乎對工業控制有廣泛的了解。協議。

“雖然這些攻擊者似乎滿足于破壞系統，但他們可能更進一步并且對系統本身造成損害的可能性并非超出范圍。雖然ICS [工業控制系統]在能源和水中被大量使用，它們當然都是關鍵的基礎設施，它也用于大規模自動化，包括制造業，航運業，航空航天業和其他應該注意到這些漏洞的行業。“