Havex:类似Stuxnet的恶意软件袭击欧洲SCADA系统

安全研究人员近来发现了一种新的类似震网病毒的恶意软件,并将其命名为:Havex,早先这种恶意软件已被用在很多针对能源部门的网络攻击中。

创新互联是一家专注于成都网站设计、成都网站制作与策划设计,芙蓉网站建设哪家好?创新互联做网站,专注于网站建设10余年,网设计领域的专业建站公司;建站业务涵盖:芙蓉等地区。芙蓉做网站价格咨询:18982081108

就像著名的专门设计用来破坏伊朗核项目的Stuxnet蠕虫病毒,Havex也是被编写来感染SCADA和工控系统中使用的工业控制软件,这种木马可能有能力禁用水电大坝、使核电站过载、甚至可以做到按一下键盘就能关闭一个国家的电网。

安全厂商F-Secure首先发现这种木马并将其作为后门命名为W32/Havex.A,F-Secure称它是一种通用的远程访问木马(RAT,即remote access Trojan),近来被用于从事工业间谍活动,主要攻击对象是欧洲的许多使用和开发工业应用程序和机械设备的公司。

SMARTY PANTS,TROJANIZED INSTALLERS

要做到这点,除了诸如利用工具包和垃圾邮件等传统感染方式外,网络罪犯们还会使用另一种有效的方法传播Havex,例如:渗透目标软件公司的Web站点,并等待目标安装那些合法APP的感染木马的版本。

在安装过程中,该木马软件释放一个叫做"mbcheck.dll"的文件,这个文件实际上就是攻击者用作后门的Havex恶意代码。

 "C&C服务器将会指示被感染的计算机下载并执行其他组件",F-Secure称,"我们收集和分析了Havex RAT的88个变种,这些变种被用来从目标网络和机器获取权限并搜集大量数据。这份分析报告包括了对与那些变种有关的146个C&C服务器的调查,这些服务器涉嫌试图通过追踪大约1500个IP地址来定位目标受害者"

F-Secure没有指出被影响厂商的名字,但比较针对法国的一个工业机械制造商和两个教育机构和德国的很多公司。

信息搜集

Havex RAT配备了一个新的组件,其目的是通过利用OPC(开放平台通信)标准来收集网络和联网设备的信息。

OPC是一种通信标准,它允许基于Windows的SCADA应用与过程控制硬件进行交互。该恶意软件会扫描本地网络中会对OPC请求作出响应的设备,以搜集工业控制设备的信息,然后将这些信息反馈到C&C服务器上。除此以外,它也包含从受感染系统收集数据的信息收获工具,比如:

1.操作系统的相关信息

2.凭证获取工具,用来窃取存储在开发Web浏览器的密码

3.使用自定义协议进行不同C&C服务器之间通信的组件,并在内存中执行三级有效载荷

"到目前为止,我们还未发现试图控制所连接硬件的任何有效载荷。"F-Secure证实。

动机是什么?

对于这一点,虽然他们的动机目前还不清楚,"我们也确定攻击者所使用的附件组件包含从受感染机器上收集数据的代码,这些机器用在ICS或SCADA系统。这表明,攻击者不仅仅对危及他们有兴趣的公司网络安全感兴趣,而且也有意获得那些机构ICS或SCADA系统的控制权。"F-Secure如是说。

Havex来自俄罗斯?

今年一月,网络安全公司CrowdStrike披露了一项被称为"Energetic Bear"的网络间谍活动,在这项活动中黑客们可能试图通过俄罗斯联邦渗透欧洲、美国和亚洲能源公司的计算机网络。据CrowStrke称,那些网络攻击中所用的恶意软件就是Havex RAT和SYSMain RAT,同时Havex RAT可能是SYSMain RAT的更新版,这两个工具至少在2011年就被攻击者使用过。

这就意味着,Havex RAT有可能以某种方式被俄罗斯黑客连接,或者由俄罗斯政府资助实施。

原文地址:http://thehackernews.com/2014/06/stuxnet-like-havex-malware-strikes.html

本文名称:Havex:类似Stuxnet的恶意软件袭击欧洲SCADA系统
文章来源:http://www.shufengxianlan.com/qtweb/news36/12736.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联