十大黑客武器很可怕：沒水沒電，下一步總統下臺

本文作者：李勤

2019-05-07 16:22

導語：人家的國務卿跟自家總統一個做派，大喇喇地發了條推文印證了這個說法：“沒吃沒藥沒電，下一步，沒總統。”

黑客攻擊能產生多大的破壞效果？

委內瑞拉的國民可以現身說法。兩個月前，委內瑞拉全國發生大規模停電事件，影響 23 個州中的 18 個州，傳言這事是美國發動了黑客攻擊，雖然美國沒認，但是人家的國務卿跟自家總統一個做派，大喇喇地發了條推文印證了這個說法：“No food. No medicine. Now, no power. Next, no Maduro.（沒吃沒藥沒電，下一步，沒總統。）”

委內瑞拉別哭，前面烏克蘭的兄弟也被“襲擊”過兩次，傳聞是俄羅斯干的。

還有很多奇奇怪怪的大規模工業襲擊都是黑客干的，比如澳大利亞馬盧奇污水處理廠曾被非法入侵，無線連接信號丟失、污水泵工作異常、報警器也沒有報警。

這個事情有多嚴重？

前工程師 Vitek Boden 因不滿工作續約被拒而蓄意報復，通過一臺手提電腦和一個無線發射器控制150個污水泵站長達三個多月，在此期間，共計有 100 萬公升的污水未經處理直接經雨水渠排入自然水系，導致當地環境受到嚴重破壞。

2016年，又有黑客利用美國賓夕法尼亞州哈里斯堡市一家自來水廠員工的個人電腦入侵了該廠負責水過濾的電腦系統，并在水過濾電腦上安裝間諜軟件，利用受感染主機向外發送電子郵件和盜版軟件，與此同時，黑客還修改了該電腦的登錄密碼，致使水廠管理員也不能夠進入操作系統。

不是水，就是電，還有工廠什么的，都是關鍵的工業基礎設施，這比破解個攝像頭密碼，分分鐘來場不可描述的直播更可怕（當然，這也很可怕）。

十大黑客武器很可怕：沒水沒電，下一步總統下臺

黑客們到底用了什么厲害的武器搞這些攻擊？我們來盤點一下：

1.Stuxnet：工控網絡攻擊的里程碑

Stuxnet（又稱作超級工廠、震網，雙子），是 Windows 平臺上的惡意代碼，于 2010 年 6 月被白俄羅斯的一家安全公司（VirusBlokAda）發現。因為惡意代碼中包含“stux”字符，所以被命名為“震網病毒（Stuxnet）”。Stuxnet利用西門子公司控制系統（SIMATIC WinCC/Step7）存在的漏洞感染數據采集與監控系統（SCADA），向可編程邏輯控制器（PLC）寫入代碼并將代碼隱藏。因其代碼及其復雜攻擊手法極其隱蔽，也被稱為有史以來最復雜的網絡武器，同時它也是全球首個在工控領域投入實戰并取得勝利的網絡武器。

該病毒 60% 的感染發生在伊朗。2012 年 6 月 1 日，美國《紐約時報》的一篇報道也證實了這一研究結果。報道內容大致如下：Stuxnet病毒起源于 2006 年前后，由美國總統小布什啟動的“奧運會計劃”，是美國國家安全局外交事務局（FAD）在以色列協助下研發，旨在減緩伊朗的核計劃，從而避免采取高風險的空襲。2008年，奧巴馬上任后下令加速該計劃。

據估計，“震網”病毒使伊朗的核計劃延遲了至少2年。事后發現，在 2011 年以色列國防軍第19任總參謀長加比?阿什克納齊的退役晚宴中的一段視頻顯示，Stuxnet 被以色列國防軍當作一次勝利。

2013 年 5 月，Edward Snowden 在接受采訪中透露：美國國家安全局（NSA）和以色列聯手開發了破壞伊朗鈾濃縮設備的 Stuxnet。在2009年至2010年，Stuxnet滲入伊朗核設施網絡，用于改變數千臺離心機發動機的運轉速度。這種突然的改變發動機轉速會對離心機造成無法修復的傷害，從而達到破壞伊朗核研究的目的。

2013 年 6 月，美國司法部因 Stuxnet 泄密事件開始調查美國戰略司令部前負責人詹姆斯卡特賴特（James Cartwright）將軍。聯邦調查人員懷疑卡特賴特向“紐約時報”記者泄露了該行動的細節，詹姆斯卡特賴特當即否認這一指控，但是，在 2016 年 10 月 17 日，卡特賴特在美國哥倫比亞特區地方法院認罪。2017 年 1 月 17 日，巴拉克?奧巴馬（Barack Obama）總統赦免了他，從而使他無罪。

根據紐約時報關于 Stuxnet 的報道，結合在任時間窗口和個人背景，其推測，Stuxnet 的實際的執行者有可能是前 CIA 將軍邁克爾?海登（Michael Hayden）。直到今天也沒有人正式承認或否認這次對伊朗的網絡打擊這是誰干的，因為即便是現在 Stuxnet 仍然具有攻擊性，甚至有可能已經升級成為隱蔽性更好，破壞力更強大的更高級的病毒。

2.Duqu-Stuxnet 之子

Duqu（毒區）在 2011 年 9 月 1 日，于布達佩斯技術經濟大學的密碼學與系統安全（CrySyS）實驗室中被發現。由于它創建的臨時文件都是以 ~DQ開頭，因此被命名為 Duqu。Duqu 與 Stuxnet 有一定的相似度，它們都使用了相同的加密算法和密鑰，此外，Duqu 也盜用了一家中國臺灣公司（驊訊電子公司）的數字證書對惡意代碼進行簽名。

Duqu2.0 是在 2015 年卡巴斯基的一次安全檢測中被發現的。卡巴斯基經過調查后發現，該惡意代碼已經在其內部網絡潛伏長達數月，進一步研究發現，入侵卡巴斯基和入侵伊朗核問題“六方會談”承辦酒店電腦的都是 Duqu2.0 。

Duqu 主要目的是刺探與伊朗核計劃有關的情報。Duqu2.0 被一些安全機構認定是以色列“8200部隊”的產物，被用來監視伊朗核談判和經濟制裁，因為它感染位于瑞士和奧地利酒店的計算機，這些酒店就是伊核六方會談（“P5+1”組織成員國包括美國、俄羅斯、中國、英國、法國和德國）的國際談判地點。

Duqu 2.0除了入侵卡巴斯基和“六方會談”，還針對奧斯維辛-比克瑙集中營解放 70 周年的紀念活動發動了類似攻擊，它的攻擊目標組織還包括歐洲電信運營商，北非電信運營商和東南亞電子設備制造商等。

Duqu的攻擊目的不是以破壞為主，而是潛伏并收集被攻擊者的各種情報信息，為將來可能發生的網絡戰提供準確的情報。

3.Flame

Flame（也被稱作Flamer、Da Flame、sKyWiper、Skywiper）于 2012 年 5 月 28 日被卡巴斯基披露，由卡巴斯基在國際電信聯盟（ITU）的一次調查中發現。Flame是一種模塊化的、可擴展的、可更新的，具有廣泛隱蔽性和極強攻擊性的惡意代碼。在收到控制者發出的控制指令后，Flame就能夠通過USB移動存儲介質以及網絡進行復制和傳播，而發出控制指令的服務器來自世界各地。它會運用包括鍵盤、屏幕、麥克風、移動存儲設備、網絡、WIFI、藍牙、USB和系統進程在內的所有的可能條件去收集信息。Flame還會將用戶瀏覽的網頁、通訊通話（Skype聊天記錄）、賬號密碼以至鍵盤輸入等記錄發送給遠程操控病毒的服務器。此外，即便與服務器的聯系被切斷，攻擊者依然可通過藍牙信號對被感染計算機進行近距離控制。功能極其豐富，覆蓋了用戶使用電腦的所有輸入輸出的接口。目前被定性為“工控病毒”。

Flame 病毒開始主要集中攻擊中東地區，包括伊朗、以色列、巴勒斯坦、敘利亞、蘇丹、黎巴嫩、沙特阿拉伯和埃及等國家。據統計，世界范圍內受感染電腦數量大約在 1000 至 5000 臺之間。

2012年6月19日，華盛頓郵報發表了一篇文章，聲稱 Flame 至少在5年前，由美國國家安全局、中央情報局和以色列軍方聯合開發，該項目據說是代號為奧運會的一部分，旨在緩伊朗發展核武器的進度，為進行網絡破壞活動收集情報。

攻擊伊朗的 Flame 病毒對 AutoCAD 文件、PDF 文件、TXT 文件以及 Microsoft Word 和其它 Office 格式格外關注，它還對桌面上的內容特別感興趣，似乎在有目的的收集被感染電腦中的技術文檔和圖紙類情報。

4.Havex

Havex于 2013 年被發現，是一種用于攻擊特定目標的遠程控制木馬（Remote Access Trojan，RAT）。2014年初，Havex開始對工業控制系統發起攻擊，感染SCADA和工控系統中使用的工業控制軟件。網絡安全公司CrowdStrike披露了一項被稱為“Energetic Bear”（該黑客組織也被稱作蜻蜓“Dragonfly”，因此Havex也被稱作Dragonfly1.0）的網絡間諜活動。據 CrowdStrike 稱：攻擊者試圖通過俄羅斯聯邦滲透歐洲、美國和亞洲的能源公司計算機網絡，在此次攻擊中所用的惡意軟件就是Havex RAT。

攻擊者通過把 ICS/SCADA 制造商的網站上用來供用戶下載的相關軟件感染木馬，當用戶下載這些軟件并安裝時，實現對目標用戶的感染。

Havex 可能是以竊取工控數據情報為目的，因為它利用 OPC 協議監視受感染主機的數據通信。而OPC協議主要是流程工業上用的比較多，例如石油石化行業，這也是為什么說Havex是針對工控行業的原因。

5.Dragonfly2.0

“Dragonfly”是著名的俄羅斯黑客組織，該黑客組織自 2010 年開始活躍，直到 2014 年被安全公司披露后，一度停止了攻擊活動，但是在 2017 年 9 月，它又開始頻繁活動，因為最新發現的“Dragonfly”從攻擊目的和惡意代碼技術上都有所提升，所以被稱為“蜻蜓二代”或者“Dragonfly2.0”。目前的證據表明，實際上蜻蜓二代在 2015 年 12 月份就已經有了活動跡象。蜻蜓二代“Dragonfly2.0”和一代一樣，使用多種攻擊方式（惡意電子郵件、水坑攻擊和合法軟件捆綁）對目標進行滲透并植入惡意代碼。早期的Dragonfly活動更像是處于探索性的階段，攻擊者只是試圖進入目標組織的網絡，Dragonfly 2.0的活動則顯示了攻擊者已經進入了一個新的階段，最近的襲擊活動可能為攻擊者提供了訪問操作系統的機會，將來可能被用于更具破壞性的攻擊。

“Dragonfly”是一個專門以能源電力機構、ICS設備制造廠商、石油管道運營商等為攻擊目標的黑客組織，早期攻擊的目標為美國和加拿大的防務和航空公司、美國和歐洲的能源公司、大多數受害者分布在美國、西班牙、法國、意大利、德國、土耳其和波蘭，而“Dragonfly2.0”則重點攻擊美國和土耳其。

6.BlackEnergy

BlackEnergy 是著名的黑客 Cr4sh 創造的。在 2007 年，他聲稱不再開發這款木馬，并且以$ 700 左右賣出源代碼（流通在俄羅斯的地下網絡）。最初，它被設計為一個 DDos 攻擊工具，主要用于建立僵尸網絡，對定向的目標實施 DDos 攻擊，源碼賣出后，新的開發者為其開發了各種功能的插件，以滿足各種攻擊需求。BlackEnergy 被不同黑客用于各自的用途，有的黑客用它發送垃圾郵件，有的黑客用來盜取銀行憑證，但是，在 2008 年“俄格沖突”期間，該工具被用來對格魯吉亞實施網絡攻擊，自此 BlackEnergy開始轉向攻擊政治目標。在 2014 年夏季， BlackEnergy 頻繁對烏克蘭政府及企事業單位發起攻擊，通過分析發現它有一款支持對 ICS 監測控制和數據采集類的插件。這顯示出 BlackEnergy 還存在的一些特別的能力，不僅僅局限于 DDOS 攻擊。

其攻擊目標為烏克蘭的ICS，能源，政府和媒體以及全球的ICS/SCADA公司和能源公司。

2015 年 11 月 22 日凌晨，克里米亞遭烏克蘭斷電，近 200 萬人受影響。2015 年 12 月 23 日，烏克蘭電力網絡受到黑客攻擊，導致伊萬諾-弗蘭科夫斯克州 22.5 萬民眾失去電力供應長達 6 小時。

7.Industroyer

2017 年 6 月 12 日，一款針對電力變電站系統進行惡意攻擊的工控網絡攻擊武器 Industroyer 被ESET披露。通過分析，我們發現該攻擊武器可以直接控制斷路器，可導致變電站斷電。 Industroyer 惡意軟件目前支持四種工控協議：IEC 60870-5-101、IEC 60870-5-104、IEC 61850以及OLE for Process Control Data Access（簡稱OPC DA）。這些協議廣泛應用在電力調度、發電控制系統以及需要對電力進行控制行業，例如軌道交通、石油石化等重要基礎設施行業，尤其是 OPC 協議作為工控系統互通的通用接口更廣泛應用在各工控行業。可以看出，攻擊者對于工控系統尤其是電力系統相關的工控協議有著深厚的知識背景，并且具有目標工控環境下的各種工控設備，攻擊者需要這些設備來實現惡意代碼的編寫和測試工作。

與 2015 年襲擊烏克蘭電網最終導致2015年12月23日斷電的攻擊者使用的工具集（BlackEnergy、KillDisk、以及其他攻擊模塊）相比，這款惡意軟件的功能意義重大，它可以直接控制開關和斷路器，Industroyer 身后的黑客團隊無論從技術角度還是從對目標工控系統的研究深度都遠遠超過了2015年12月烏克蘭電網攻擊背后的黑客團隊。

通過對該批惡意軟件的編譯時間推測該惡意軟件曾被利用來攻擊烏克蘭的變電站導致2016年12月那次半個小時的烏克蘭停電事件。目前可以說 Industroyer 惡意軟件是繼 STUXNET、BLACKENERGY 2以及 HAVEX 之后第四款對針對工業控制系統進行攻擊的工控武器。

其攻擊目標為烏克蘭的ICS，能源，政府和媒體以及全球的 ICS/SCAD A公司和能源公司。

據推測，2016 年 12 月那次半個小時的烏克蘭停電事件是由 Industroyer 攻擊導致。

8.GreyEnergy

2018 年 10 月 18 日，ESET 研究團隊稱發現一個新的 APT 組織 GreyEnergy，且該 APT 組織是 BlackEnergy 的繼承者，因 BlackEnergy 在 2015 年引發烏克蘭大停電而名聲大噪，此后便銷聲匿跡，而GreyEnergy的活動記錄也同時出現，另外，2015年同期還出現了另一個組織TeleBots（可能是2017年策劃大規模NotPetya病毒的爆發的幕后黑手）。除了兩者幾乎同時出現之外， GreyEnergy在2016年使用的一種破壞性惡意軟件Moonraker Petya。顧名思義，它與NotPetya類似，雖然不太先進，但是這表明GreyEnergy和TeleBots之間的合作，或者至少是思想和代碼的交流。

ESET研究團隊認為BlackEnergy演變為兩個獨立的組織：TeleBots 和 GreyEnergy。

GreyEnergy 主要針對烏克蘭和波蘭的能源部門、交通部門等高價值目標，攻擊行為主要是網絡偵查（即間諜行為）。GreyEnergy 與 BlackEnergy 具有很多相似之處，它也是采用模塊化結構，目前已經發現的模塊有：注入模塊、獲取系統信息模塊、文件管理模塊、屏幕截圖模塊、鍵盤記錄模塊、密碼和憑證竊取模塊、代理模塊、ssh隧道模塊等，但是至今仍未發現專門針對 ICS 的惡意軟件模塊。

據目前所獲情報，此次攻擊主要對烏克蘭和波蘭的能源部門及交通部門進行滲透攻擊，以期獲取相關數據和情報。

可能導致烏克蘭和波蘭的能源相關重要部門的信息泄露，內部敏感信息、相關技術資料內部網絡架構等重要信息被竊取。

9.VPNFilter

VPNFilter 惡意代碼是由思科 Talos 團隊首次公開，因其危害極其嚴重，Talos并未完成全部分析。VPNFilter惡意代碼旨在入侵物聯網設備（路由器、網絡存儲設備等）從事可能由國家發起的全球性的高級惡意軟件攻擊。截止 2018 年 5 月 23 日，至少有 54 個國家遭入侵，已感染約 50 萬臺路由器。由于其核心模塊文件為 VPNFilter，故該惡意代碼也被命名為“VPNFilter”。FBI稱此次攻擊與俄羅斯政府支持的黑客組織Fancy Bear有關。Fancy Bear又稱作奇幻熊、APT28、Sofacy Group、Pawn Storm、Sednit。

自 2007 年以來，Fancy Bear一直在進行網絡間諜活動，入侵過北約、奧巴馬白宮、法國電視臺、世界反興奮劑機構和無數非政府組織以及歐洲、中亞和高加索地區的軍事和民間機構，是一個臭名昭著的黑客組織。

在 2018 年 5 月 8 日出現大規模的以烏克蘭為主要目標的攻擊活動，并且在 5 月 17 日烏克蘭的受感染設備出現大幅度增加，這些受感染設備均受控于C&C 46.151.209.33, 看起來此次攻擊目標似乎瞄準烏克蘭。

烏克蘭電力系統曾經受到過兩次黑客攻擊，并且導致了停電事故。

10.Triton

2017 年 11 月中旬，Dragos Inc.團隊發現了針對 ICS 量身定做的惡意軟件，并將此惡意軟件命名為TRISIS（又被稱為 Triton 和 HatMan），同年 12 月， FireEye 發布了 Triton 的分析報告。Triton 是首款針對安全儀表系統進行攻擊的惡意軟件，Triton 惡意軟件旨在針對施耐德電氣的工業環境中使用的 Triconex安全儀表系統（SIS）控制器，共采用 5 種不同開發語言構建，僅能在其瞄準的工業設備上執行。TRIRON惡意代碼可對 SIS 系統邏輯進行重編輯，使 SIS 系統產生意外動作，對正常生產活動造成影響；能使SIS系統失效，在發生安全隱患或安全風險時無法及時實行和啟動安全保護機制，從而對生產活動造成影響；還可以對DCS系統實施攻擊，并通過SIS系統與DCS系統的聯合作用，對工業設備、生產活動以及人員健康造成破壞。

2018 年 5 月 4 日，Dragos 公司稱 Triton 背后的黑客組織 Xenotime 已經擴大了攻擊范圍，除了攻擊施耐德電氣的 Triconex 以外還針對其它的系統。

Xenotime 黑客組織可能自 2014 年開始活躍，于 2017 年成功攻擊中東一家石油天然氣工廠，致其工廠停運。工業網絡安全和威脅情報公司 CyberX 的研究人員曾認為，Triton的幕后黑手是伊朗，但Dragos并未提供任何有能夠證明此猜測的證據信息。Dragos 公司指出，尚未發現 Xenotime 與其它已知黑客組織存在關聯的線索。

2018 年 10 月 23 日，FireEye 稱他們發現了 Triton 惡意軟件與位于莫斯科的俄羅斯政府研究機構中央化學與機械科學研究所(CNIIHM)之間的聯系：樣本中語言西里爾文和時區與俄羅斯相關；通過分析測試文件PDB路徑的字符串，發現一段特殊字符串可能是俄羅斯信息安全社區活躍用戶（從2011年開始活躍）的昵稱，結合被廢棄的社交媒體資料，推測出這個人是CNIIHM的教授，該教授位于莫斯科 Nagatino-Sadovniki 區的 Nagatinskaya 街附近；該研究所注冊的一個IP地址（87.245.143.140）參與了Triton攻擊。此外，值得一提的是CNIIHM具備開發Triton惡意軟件的能力，它擁有專門研究關鍵基礎設施保護和武器及軍事裝備開發的研究部門，并與廣泛的其他組織合作，包括計算機科學，電氣工程，國防系統和信息技術。

它的攻擊至少針對一個中東地區的組織。其他使用施耐德電氣的Triconex安全儀表系統（SIS）控制器的能源單位也面臨被攻擊的風險，據不完全統計，該型號的控制器被全球 1.8 萬家工廠使用，其中包含核相關設施。

2017年其成功攻擊中東一家石油天然氣工廠，導致這家工廠停止運營。

雷鋒網注：上述資料由啟明星辰 ADLab 整理分析，雷鋒網編輯，詳細攻擊原理及完整報告可以查閱《啟明星辰ADLab：工控十大網絡攻擊武器分析報告》。