安全公司Dragos宣稱:該惡意軟件已經(jīng)活躍4年了。
偽裝成西門子控制設備合法固件的惡意軟件,顯然在過去4年中已經(jīng)感染了全球范圍內(nèi)的多種工業(yè)設備。
該惡意軟件被打包成安裝在西門子可編程邏輯控制器(PLC)上軟件的樣子。工業(yè)網(wǎng)絡安全公司Dragos宣稱,至少10家工廠(其中7家位于美國)中招。
據(jù)這家位于得克薩斯州的公司透露,該惡意軟件專門針對工業(yè)控制設備。雖然被描述為“犯罪軟件”,其具體動作卻沒做詳細解釋。
2013年起,美國一個ICS機構就提交了西門子PLC控制軟件的樣本。最開始,各家殺軟廠商都將其標為誤報,但最終呈現(xiàn)出來的確是實實在在的惡意軟件。我們的調(diào)查中發(fā)現(xiàn):過去4年中,該惡意軟件圍繞西門子所做變種翻了10倍,最近一次該惡意軟件標記是在2017年3月。
簡言之,這4年里,一直有黑客嘗試將惡意軟件偽裝成西門子控制軟件來感染工業(yè)環(huán)境。該惡意軟件就是個犯罪軟件,而且看起來相當有效。
惡意軟件可被分為普通廣告軟件和植入PC的銀行木馬。Dragos保守估計,每年約有3000家工廠被傳統(tǒng)惡意軟件感染,大多為被員工用已感染的U盤帶進來的機會性木馬,比如Sivis、Ramnit和Virut。
工控安全專家 Nozomi Networks 首席執(zhí)行官埃德加·卡普蒂威樂稱:“主打ICS惡意軟件的存在一點不讓人意外,但值得關注。事實是,今天的ICS網(wǎng)絡面臨的安全挑戰(zhàn),與其他IT網(wǎng)絡相同,但卻比其他IT網(wǎng)絡缺少類似的安全選擇。”
ICS設計之初就是完全隔離,且限于物理邊界之內(nèi)的。然而,新IP地址不斷鑿穿信息技術(IT)和運用技術(OT)之間的隔離墻。隨著IT連接的建立,很難再將放出來的惡魔再塞回魔盒,每一條通道,都是可以被黑客挖掘而入或被惡意軟件從內(nèi)部引爆的潛在弱點。
空客防御與空間網(wǎng)絡安全網(wǎng)絡顧問部主管安德魯·庫克補充道:很多工業(yè)系統(tǒng)中都有惡意軟件的身影,并由被感染U盤或非授權遠程訪問傳播。盡管這些系統(tǒng)里面發(fā)現(xiàn)的惡意軟件大部分都很低端,但卻仍能成為相關公司的嚴重安全風險。高級攻擊者常用這些方法獲取某些系統(tǒng)操作、配置和運行的寶貴情報。