Dragonfly袭来,瞄准罗克韦尔、西门子、施耐德、欧姆龙工业控制系统

2014年8月13日,Belden最新的有关Havex病毒新变种——Dragonfly恶意软件的分析指出,该恶意软件目标锁定在了包装消费品行业,特别是制药业,而非先前认为的能源行业。

Dragonfly是继Stuxnet之后又一强大的病毒,它的目标就是侵入特定的工业控制系统(ICS)。它包含一个工业协议扫描仪,可搜索TCP端口44848(欧姆龙和罗克韦尔自动化使用),102(西门子使用)和502(施耐德电气使用)上的设备。据工业通信专家Belden介绍,这些协议和产品在包装和制造应用尤其是消费性包装品行业,特别是制药业有更大范围的安装。

Dragonfly:攻击 信息盗取

Belden委任领先的独立ICS安全专家JoelLangill对Dragonfly恶意软件进行更深入的调查。他专注于在反映真实环境下ICS配置的系统上运行恶意代码并观察恶意软件所产生的影响。

他发现在成千上万个可能的ICS供应商中,被恶意软件认定为目标的并不是能源行业中的提供商。而是,包括制药业在内的消费性包装产品行业中最为常用。

Langill还报告说,Dragonfly恶意软件与另外一个叫EpicTurla的病毒颇为相像,很可能两者都是由同一团队操纵的。EpicTurla目标是制造业企业的知识产权。

“基于本人所做的调查和对制药业的了解,我得出了Dragonfly恶意软件的目标就是制药业的结论,”Langill说到,“其潜在危害包括专利配方和生产批次序列步骤,以及显示制造工厂容量和生产能力的网络和设备信息被盗取。”

Belden网络安全业务首席技术官EricByres介绍说:“有关Dragonfly恶意软件的一个有趣现象就是,它锁定目标在ICS信息的目的不是为了引起故障,而是为了窃取知识产权--很可能是为其盗版所用。”首席技术官和其他高管要了解这一攻击并确保有可对付的技术和产品。

“安全性研究人员和黑客已识别出很多工业生产产品中所存在的漏洞,”他补充说到,“为了防止Dragonfly攻击,很重要的一点是制造企业要通过最新的最佳实践政策和工业专用安全技术来保护核心ICS的安全。现在,我们知道Stuxnet和Flame潜伏在其目标网络中已有数年--一旦发现这些类似病毒进行破坏或者窃取商业机密再进行保护措施,为时已晚。”

Havex:狩猎工控设备

在2014年的春天,人们发现Havex开始对工业控制系统(IndustrialControl Systems, ICS)有特殊的兴趣,该恶意软件背后的组织使用了一个创新型木马来接近目标。攻击者首先把ICS/SCADA制造商的网站上用来供用户下载的相关软件感染木马病毒,当用户下载这些软件并安装时实现对目标用户的感染。

最初,人们分析Havex的主要目标是能源部门相关的组织,而且,也确实发现曾经被用于针对一些欧洲公司实施工业间谍活动,并成功入侵1000多家欧洲和北美能源公司。

Havex的新变种有能力主动扫描用来控制关键基础设施、制造领域的SCADA系统中的OPC 服务器。

OPC是一种通信标准,允许基于Windows的SCADA系统之间或者其他工业控制系统应用程序和过程控制硬件之间进行通信。新的Havex变种可以收集存储在使用OPC标准的被入侵客户端或服务端的系统信息和数据。

FireEye的研究人员在其官方博文中称,“攻击者已经利用Havex攻击那些能源部门一年多了,但暂时仍然不清楚受影响行业及工业控制系统的的受害程度。我们决定更详尽地检查Havex的OPC扫描组件,以便更好地理解当扫描组件执行时发生了什么以及可能产生的影响。”

该安全公司的研究人员建立了一个典型的OPC服务器环境对新变种的功能进行实时测试。工业控制系统或SCADA系统包括OPC客户端软件以及与其直接交互的OPC服务端,OPC服务端与PLC串联工作,实现对工控硬件的控制。

一旦进入网络后,Havex下载器就会调用DLL导出功能,启动对SCADA网络中OPC服务器的扫描。为了定位潜在的OPC服务器,该扫描器模块使用微软的WNet(Windows networking)功能如WNetOpenEnum和WNetEnumResources,以此枚举网络资源或存在的连接。

“扫描器建立了一个可以通过WNet服务进行全局访问的服务器列表,然后检查这个服务器列表以确定是否有向COM组件开放的接口。”

通过使用OPC扫描模块,Havex新变种可以搜集有关联网设备的任何细节,并将这些信息发回到C&C服务器供攻击者分析。以此看来,这个新变种貌似被用作未来情报收集的工具。

这是第一个用作OPC扫描的"在野"样本,很有可能这些攻击者是把这个恶意软件作为试验品以供未来使用。