知名資安業者ESET於6/12在其官方部落格(https://www.welivesecurity.com/)發布訊息表示,其研究人員發現一支專門攻擊供電設施的工業控制系統(Industrial Control System, ICS)惡意程式,手法類似2016年烏克蘭政府及供電系統所遭到的駭客攻擊。ESET將發現到惡意程式稱之為Win32/industroyer。Industroyer對供電設備威脅甚大,因為它能直接控制電廠的配電變電所開關,以及輸電網路的斷路器。研究人員分析,Industroyer的核心是一種後門程式,能為安裝及控制其他元件,並連向遠端C&C伺服器,由攻擊者下令行動並回報攻擊者。Industroyer利用目前全球電廠、運輸控制系統及自來水、瓦斯等關鍵基礎設施所使用的工業通訊協定進行攻擊。這些通訊協定都是幾十年前設計的,當時設計並沒有考量網路與資訊安全,所以攻擊者根本無需找系統漏洞,只要讓惡意程式跟這些協定「溝通」即可。該惡意程式可以輕易關閉供電、引發系統失靈或其他更嚴重的危害。
根據惡意程式樣本分析,Industroyer使用的4種元件都是為了直接控制變電所開關及斷路器而設計,而且能依階段辨識輸電網路,並依據不同工業控制系統發出適當之指令,顯示攻擊者具備對此類系統的深厚知識。此外,該惡意程式還能躲避偵測,像是在下班時刻才以Tor網路和C&C伺服器進行通訊,或是使用假冒Notepad的後門程式,作為主要後門程式被發現或失效時的備援。它還能刪除重要的Registry keys,覆寫檔案,導致系統無法開機,以湮滅蹤跡,增加回復的難度。由其攻擊特徵來判斷,研究人員懷疑2016年引發烏克蘭首都基輔停電一小時的駭客攻擊可能僅是該惡意程式的一次大規模測試而已。研究人員認為,Industroyer是自Stuxnet以來最大的工業控制系統威脅。ESET提醒全球具有類似系統的國家及企業應提高警覺,嚴加防範。