今日頭條
官方微信
官方抖音
資訊頻道
近日, 安全公司的研究人員發(fā)現(xiàn)了Havex RAT的一個(gè)新變種,這個(gè)變種有能力主動(dòng)掃描用來控制關(guān)鍵基礎(chǔ)設(shè)施、能源和制造領(lǐng)域的SCADA系統(tǒng)中的OPC服務(wù)器。
OPC是一種通信標(biāo)準(zhǔn),允許基于Windows的SCADA系統(tǒng)之間或者其它工業(yè)控制系統(tǒng)應(yīng)用程序和過程控制硬件之間進(jìn)行通信。新的Havex變種可以收集存儲(chǔ)在使用OPC標(biāo)準(zhǔn)的被入侵客戶端或服務(wù)端的系統(tǒng)信息和數(shù)據(jù)。
研究人員在其官方博文中稱,“攻擊者已經(jīng)利用Havex攻擊那些能源部門一年多了,但暫時(shí)仍然不清楚受影響行業(yè)及工業(yè)控制系統(tǒng)的的受害程度。我們決定更詳盡地檢查Havex的OPC掃描組件,以便更好地理解當(dāng)掃描組件執(zhí)行時(shí)發(fā)生了什么以及可能產(chǎn)生的影響。”
該安全公司的研究人員建立了一個(gè)典型的OPC服務(wù)器環(huán)境對(duì)新變種的功能進(jìn)行實(shí)時(shí)測試。工業(yè)控制系統(tǒng)或S C A D A 系統(tǒng)包括OPC客戶端軟件以及與其直接交互的OPC服務(wù)端,OP C 服務(wù)端與P LC串聯(lián)工作, 實(shí)現(xiàn)對(duì)工控硬件的控制。一旦進(jìn)入網(wǎng)絡(luò)后,Hav e x 下載器就會(huì)調(diào)用D L L導(dǎo)出功能, 啟動(dòng)對(duì)S C A D A 網(wǎng)絡(luò)中O P C 服務(wù)器的掃描。為了定位潛在的OPC服務(wù)器,該掃描器模塊使用微軟的W N e t ( W i n d o w s networking)功能,如WNetOpenEnum和
WNetEnumResources,以此枚舉網(wǎng)絡(luò)資源或存在的連接。
博文中提到,“掃描器建立了一個(gè)可以通過WNet服務(wù)進(jìn)行全局訪問的服務(wù)器列表,然后檢查這個(gè)服務(wù)器列表以確定是否有向COM組件開放的接口。”通過使用OPC掃描模塊,Havex新變種可以搜集有關(guān)聯(lián)網(wǎng)設(shè)備的任何細(xì)節(jié),并將這些信息發(fā)回到C&C服務(wù)器供攻擊者分析。以此看來,這個(gè)新變種貌似被用作未來情報(bào)收集的工具。
到目前為止,研究人員并未發(fā)現(xiàn)任何試圖控制所連接硬件的行為,這個(gè)惡意軟件背后使用的攻擊路徑、開發(fā)者以及意圖還不得而知,但是研究人員正在調(diào)查,并試圖收集所以關(guān)于這個(gè)新變種的信息。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)