Industroyer如何破坏世界电网

ESET的安全研究人员发现了一种可能导致乌克兰首都基辅2016年大停电的恶意软件。去年12月中旬，一场网络攻击对该市北部的一个变电站造成了破坏，导致该地区停电。次攻击发生在2015年12月乌克兰境内许多地区的恶意软件BlackEnergy造成重大停电一年之后，导致25万户家庭无电。据ESET称，这就是相似之处的结束。ESET发现并分析了一种名为Industroyer的无关恶意软件的样本，这些恶意软件可能导致2016年出现的损害类型。

BlackEnergy攻击使用合法的远程访问软件来控制运营商的工作站，切断电源，而Industroyer则能够直接控制变电站开关和断路器。从技术上讲，恶意软件的潜在影响范围从简单地关闭电源到级联故障和严重的设备物理损坏。

令人担忧的是，它利用的通信协议并非乌克兰能源网络所独有，但实际上不仅在全球范围内用于电力供应基础设施，而且还用于运输，水和天然气等关键系统。

ESET的高级恶意软件研究员Anton Cherepanov 在一篇博客文章中说：“Industroyer的危险在于它使用协议的方式被设计使用，” 问题是这些协议是几十年前设计的，当时的工业系统意味着与外界隔绝。

“因此，他们的通信协议并没有考虑安全性。这意味着攻击者不需要寻找协议漏洞;他们所需要的就是教恶意软件'说'那些协议'。”

他补充说：“虽然原则上很难在不进行现场事件响应的情况下将攻击归咎于恶意软件，但很有可能在2016年12月对乌克兰电网的攻击中使用了Industroyer。此外，恶意软件明显存在拥有执行攻击的独特功能，它包含2016年12月17日停电当天的激活时间戳。“

在ESET披露其对Industroyer的研究之后，Imperva的首席产品策略师Terry Ray表示：“我们开始看到基础设施攻击的上升，而对于Industroyer，攻击者似乎对工业控制有广泛的了解。协议。

“虽然这些攻击者似乎满足于破坏系统，但他们可能更进一步并且对系统本身造成损害的可能性并非超出范围。虽然ICS [工业控制系统]在能源和水中被大量使用，它们当然都是关键的基础设施，它也用于大规模自动化，包括制造业，航运业，航空航天业和其他应该注意到这些漏洞的行业。“