安全研究人員近來發(fā)現(xiàn)了一種新的類似震網(wǎng)病毒的惡意軟件，并將其命名為：Havex，早先這種惡意軟件已被用在很多針對能源部門的網(wǎng)絡(luò)攻擊中。

[[115819]]

就像著名的專門設(shè)計用來破壞伊朗核項目的Stuxnet蠕蟲病毒，Havex也是被編寫來感染SCADA和工控系統(tǒng)中使用的工業(yè)控制軟件，這種木馬可能有能力禁用水電大壩、使核電站過載、甚至可以做到按一下鍵盤就能關(guān)閉一個國家的電網(wǎng)。

安全廠商F-Secure首先發(fā)現(xiàn)這種木馬并將其作為后門命名為W32/Havex.A，F(xiàn)-Secure稱它是一種通用的遠(yuǎn)程訪問木馬(RAT,即remote access Trojan)，近來被用于從事工業(yè)間諜活動，主要攻擊對象是歐洲的許多使用和開發(fā)工業(yè)應(yīng)用程序和機(jī)械設(shè)備的公司。

SMARTY PANTS，TROJANIZED INSTALLERS

要做到這點，除了諸如利用工具包和垃圾郵件等傳統(tǒng)感染方式外，網(wǎng)絡(luò)罪犯們還會使用另一種有效的方法傳播Havex，例如：滲透目標(biāo)軟件公司的Web站點，并等待目標(biāo)安裝那些合法APP的感染木馬的版本。

在安裝過程中，該木馬軟件釋放一個叫做"mbcheck.dll"的文件，這個文件實際上就是攻擊者用作后門的Havex惡意代碼。

F-Secure沒有指出被影響廠商的名字，但比較針對法國的一個工業(yè)機(jī)械制造商和兩個教育機(jī)構(gòu)和德國的很多公司。

信息搜集

Havex RAT配備了一個新的組件，其目的是通過利用OPC(開放平臺通信)標(biāo)準(zhǔn)來收集網(wǎng)絡(luò)和聯(lián)網(wǎng)設(shè)備的信息。

OPC是一種通信標(biāo)準(zhǔn)，它允許基于Windows的SCADA應(yīng)用與過程控制硬件進(jìn)行交互。該惡意軟件會掃描本地網(wǎng)絡(luò)中會對OPC請求作出響應(yīng)的設(shè)備，以搜集工業(yè)控制設(shè)備的信息，然后將這些信息反饋到C&C服務(wù)器上。除此以外，它也包含從受感染系統(tǒng)收集數(shù)據(jù)的信息收獲工具，比如：

1.操作系統(tǒng)的相關(guān)信息

2.憑證獲取工具，用來竊取存儲在開發(fā)Web瀏覽器的密碼

3.使用自定義協(xié)議進(jìn)行不同C&C服務(wù)器之間通信的組件，并在內(nèi)存中執(zhí)行三級有效載荷

"到目前為止，我們還未發(fā)現(xiàn)試圖控制所連接硬件的任何有效載荷。"F-Secure證實。

動機(jī)是什么?

對于這一點，雖然他們的動機(jī)目前還不清楚，"我們也確定攻擊者所使用的附件組件包含從受感染機(jī)器上收集數(shù)據(jù)的代碼，這些機(jī)器用在ICS或SCADA系統(tǒng)。這表明，攻擊者不僅僅對危及他們有興趣的公司網(wǎng)絡(luò)安全感興趣，而且也有意獲得那些機(jī)構(gòu)ICS或SCADA系統(tǒng)的控制權(quán)。"F-Secure如是說。

Havex來自俄羅斯?

今年一月，網(wǎng)絡(luò)安全公司CrowdStrike披露了一項被稱為"Energetic Bear"的網(wǎng)絡(luò)間諜活動，在這項活動中黑客們可能試圖通過俄羅斯聯(lián)邦滲透歐洲、美國和亞洲能源公司的計算機(jī)網(wǎng)絡(luò)。據(jù)CrowStrke稱，那些網(wǎng)絡(luò)攻擊中所用的惡意軟件就是Havex RAT和SYSMain RAT，同時Havex RAT可能是SYSMain RAT的更新版，這兩個工具至少在2011年就被攻擊者使用過。

這就意味著，Havex RAT有可能以某種方式被俄羅斯黑客連接，或者由俄羅斯政府資助實施。

原文地址：http://thehackernews.com/2014/06/stuxnet-like-havex-malware-strikes.html