十大年夜黑客武器很恐惧：没水没电下一步总统下台

委内瑞拉的国民可以现身说法。

两个月前，委内瑞拉全国发生大规模停电事宜，影响 23 个州中的 18 个州，传言这事是美国发动了黑客攻击，虽然美国没认，但是人家的国务卿跟自家总统一个做派，大喇喇地发了条推文印证了这个说法：“No food. No medicine. Now, no power. Next, no Maduro.（没吃没药没电，下一步，没总统。
）”

委内瑞拉别哭，前面乌克兰的兄弟也被“打击”过两次，传闻是俄罗斯干的。

还有很多奇奇怪怪的大规模工业打击都是黑客干的，比如澳大利亚马卢奇污水处理厂曾被造孽入侵，无线连接旗子暗记丢失、污水泵事情非常、报警器也没有报警。

这个事情有多严重？

前工程师 Vitek Boden 因不满事情续约被拒而蓄意报复，通过一台手提电脑和一个无线发射器掌握150个污水泵站长达三个多月，在此期间，共计有 100 万公升的污水未经处理直接经雨水渠排入自然水系，导致当地环境受到严重毁坏。

2016年，又有黑客利用美国宾夕法尼亚州哈里斯堡市一家自来水厂员工的个人电脑入侵了该厂卖力水过滤的电脑系统，并在水过滤电脑上安装特工软件，利用受传染主机向外发送电子邮件和盗版软件，与此同时，黑客还修正了该电脑的登录密码，致使水厂管理员也不能够进入操作系统。

不是水，便是电，还有工厂什么的，都是关键的工业根本举动步伐，这比破解个摄像头密码，分分钟来场不可描述的直播更恐怖（当然，这也很恐怖）。

黑客们到底用了什么厉害的武器搞这些攻击？我们来盘点一下：

1.Stuxnet：工控网络攻击的里程碑

Stuxnet（又称作超级工厂、震网，双子），是 Windows 平台上的恶意代码，于 2010 年 6 月被白俄罗斯的一家安全公司（VirusBlokAda）创造。
由于恶意代码中包含“stux”字符，以是被命名为“震网病毒（Stuxnet）”。
Stuxnet利用西门子公司掌握系统（SIMATIC WinCC/Step7）存在的漏洞传染数据采集与监控系统（SCADA），向可编程逻辑掌握器（PLC）写入代码并将代码隐蔽。
因其代码及其繁芜攻击手腕极其暗藏，也被称为有史以来最繁芜的网络武器，同时它也是环球首个在工控领域投入实战并取得胜利的网络武器。

该病毒 60% 的传染发生在伊朗。
2012 年 6 月 1 日，美国《纽约时报》的一篇宣布也证明了这一研究结果。
宣布内容大致如下：Stuxnet病毒起源于 2006 年前后，由美国总统小布什启动的“奥运司帐划”，是美国国家安全局外交事务局（FAD）在以色列帮忙下研发，旨在减缓伊朗的核操持，从而避免采纳高风险的空袭。
2008年，奥巴立时任后敕令加速该操持。

据估计，“震网”病毒使伊朗的核操持延迟了至少2年。
事后创造，在 2011 年以色列国防军第19任总参谋长加比•阿什克纳齐的退役晚宴中的一段视频显示，Stuxnet 被以色列国防军当作一次胜利。

2013 年 5 月，Edward Snowden 在接管采访中透露：美国国家安全局（NSA）和以色列联手开拓了毁坏伊朗铀浓缩设备的 Stuxnet。
在2009年至2010年，Stuxnet渗入伊朗核举动步伐网络，用于改变数千台离心机发动机的运转速率。
这种溘然的改变发动机转速会对离心机造成无法修复的侵害，从而达到毁坏伊朗核研究的目的。

2013 年 6 月，美国法律部因 Stuxnet 泄密事宜开始调查美国计策司令部前卖力人詹姆斯卡特赖特（James Cartwright）将军。
联邦调查职员疑惑卡特赖特向“纽约时报”透露了该行动的细节，詹姆斯卡特赖特当即否认这一指控，但是，在 2016 年 10 月 17 日，卡特赖特在美国哥伦比亚特区地方法院认罪。
2017 年 1 月 17 日，巴拉克•奥巴马（Barack Obama）总统赦免了他，从而使他无罪。

根据纽约时报关于 Stuxnet 的宣布，结合在任韶光窗口和个人背景，其推测 ，Stuxnet 的实际的实行者有可能是前 CIA 将军迈克尔•海登（Michael Hayden）。
直到本日也没有人正式承认或否认这次对伊朗的网络打击这是谁干的，由于即便是现在 Stuxnet 仍旧具有攻击性，乃至有可能已经升级成为暗藏性更好，毁坏力更强大的更高等的病毒。

2.Duqu-Stuxnet 之子

Duqu（毒区）在 2011 年 9 月 1 日，于布达佩斯技能经济大学的密码学与系统安全（CrySyS）实验室中被创造。
由于它创建的临时文件都因此 ~DQ开头，因此被命名为 Duqu。
Duqu 与 Stuxnet 有一定的相似度，它们都利用了相同的加密算法和密钥，此外，Duqu 也盗用了一家中国台湾公司（骅讯电子公司）的数字证书对恶意代码进行署名。

Duqu2.0 是在 2015 年卡巴斯基的一次安全检测中被创造的。
卡巴斯基经由调查后创造，该恶意代码已经在其内部网络潜伏长达数月，进一步研究创造，入侵卡巴斯基和入侵伊朗核问题“六方会商”承办酒店电脑的都是 Duqu2.0 。

Duqu 紧张目的是密查与伊朗核操持有关的情报。
Duqu2.0 被一些安全机构认定因此色列“8200部队”的产物，被用来监视伊朗核会谈和经济制裁，由于它传染位于瑞士和奥地利酒店的打算机，这些酒店便是伊核六方会商（“P5+1”组织成员国包括美国、俄罗斯、中国、英国、法国和德国）的国际会谈地点。

Duqu 2.0除了入侵卡巴斯基和“六方会商”，还针对奥斯维辛-比克瑙集中营解放 70 周年的纪念活动发动了类似攻击，它的攻击目标组织还包括欧洲电信运营商，北非电信运营商和东南亚电子设备制造商等。

Duqu的攻击目的不因此毁坏为主，而是潜伏并网络被攻击者的各种情报信息，为将来可能发生的网络战供应准确的情报。

3.Flame

Flame（也被称作Flamer、Da Flame、sKyWiper、Skywiper）于 2012 年 5 月 28 日被卡巴斯基表露，由卡巴斯基在国际电信同盟（ITU）的一次调查中创造。
Flame是一种模块化的、可扩展的、可更新的，具有广泛暗藏性和极强攻击性的恶意代码。
在收到掌握者发出的掌握指令后，Flame就能够通过USB移动存储介质以及网络进行复制和传播，而发出掌握指令的做事器来自天下各地。
它会利用包括键盘、屏幕、麦克风、移动存储设备、网络、WIFI、蓝牙、USB和系统进程在内的所有的可能条件去网络信息。
Flame还会将用户浏览的网页、通讯通话（Skype谈天记录）、账号密码以至键盘输入等记录发送给远程操控病毒的做事器。
此外，即便与做事器的联系被割断，攻击者依然可通过蓝牙旗子暗记对被传染打算机进行近间隔掌握。
功能极其丰富，覆盖了用户利用电脑的所有输入输出的接口。
目前被定性为“工控病毒”。

Flame 病毒开始紧张集中攻击中东地区，包括伊朗、以色列、巴勒斯坦、叙利亚、苏丹、黎巴嫩、沙特阿拉伯和埃及等国家。
据统计，天下范围内受传染电脑数量大约在 1000 至 5000 台之间。

2012年6月19日，华盛顿邮报揭橥了一篇文章，声称 Flame 至少在5年前，由美国国家安全局、中心情报局和以色列军方联合开拓，该项目听说是代号为奥运会的一部分，旨在缓伊朗发展核武器的进度，为进行网络毁坏活动网络情报。

攻击伊朗的 Flame 病毒对 AutoCAD 文件、PDF 文件、TXT 文件以及 Microsoft Word 和其它 Office 格式格外关注，它还对桌面上的内容特殊感兴趣，彷佛在有目的的网络被传染电脑中的技能文档和图纸类情报。

4.Havex

Havex于 2013 年被创造，是一种用于攻击特定目标的远程掌握木马（Remote Access Trojan，RAT）。
2014年初，Havex开始对工业掌握系统发起攻击，传染SCADA和工控系统中利用的工业掌握软件。
网络安全公司CrowdStrike表露了一项被称为“Energetic Bear”（该黑客组织也被称作蜻蜓“Dragonfly”，因此Havex也被称作Dragonfly1.0）的网络特工活动。
据 CrowdStrike 称：攻击者试图通过俄罗斯联邦渗透欧洲、美国和亚洲的能源公司打算机网络，在这次攻击中所用的恶意软件便是Havex RAT。

攻击者通过把 ICS/SCADA 制造商的网站上用来供用户下载的干系软件传染木马，当用户下载这些软件并安装时，实现对目标用户的传染。

Havex 可能因此盗取工控数据情报为目的，由于它利用 OPC 协议监视受传染主机的数据通信。
而OPC协议紧张是流程工业上用的比较多，例如石油石化行业，这也是为什么说Havex是针对工控行业的缘故原由。

5.Dragonfly2.0

“Dragonfly”是著名的俄罗斯黑客组织，该黑客组织自 2010 年开始生动，直到 2014 年被安全公司表露后，一度停滞了攻击活动，但是在 2017 年 9 月，它又开始频繁活动，由于最新创造的“Dragonfly”从攻击目的和恶意代码技能上都有所提升，以是被称为“蜻蜓二代”或者“Dragonfly2.0”。
目前的证据表明，实际上蜻蜓二代在 2015 年 12 月份就已经有了活动迹象。
蜻蜓二代“Dragonfly2.0”和一代一样，利用多种攻击办法（恶意电子邮件、水坑攻击和合法软件捆绑）对目标进行渗透并植入恶意代码。
早期的Dragonfly活动更像是处于探索性的阶段，攻击者只是试图进入目标组织的网络，Dragonfly 2.0的活动则显示了攻击者已经进入了一个新的阶段，最近的打击活动可能为攻击者供应了访问操作系统的机会，将来可能被用于更具毁坏性的攻击。

“Dragonfly”是一个专门以能源电力机构、ICS设备制造厂商、石油管道运营商等为攻击目标的黑客组织，早期攻击的目标为美国和加拿大的防务和航空公司、美国和欧洲的能源公司、大多数受害者分布在美国、西班牙、法国、意大利、德国、土耳其和波兰，而“Dragonfly2.0”则重点攻击美国和土耳其。

6.BlackEnergy

BlackEnergy 是著名的黑客 Cr4sh 创造的。
在 2007 年，他声称不再开拓这款木马，并且以$ 700 旁边卖出源代码（流利在俄罗斯的地下网络）。
最初，它被设计为一个 DDos 攻击工具，紧张用于建立僵尸网络，对定向的目标履行 DDos 攻击，源码卖出后，新的开拓者为其开拓了各种功能的插件，以知足各种攻击需求。
BlackEnergy 被不同黑客用于各自的用场，有的黑客用它发送垃圾邮件，有的黑客用来盗取银行凭据，但是，在 2008 年“俄格冲突”期间，该工具被用来对格鲁吉亚履行网络攻击，自此 BlackEnergy开始转向攻击政治目标。
在 2014 年夏季， BlackEnergy 频繁对乌克兰政府及企奇迹单位发起攻击，通过剖析创造它有一款支持对 ICS 监测掌握和数据采集类的插件。
这显示出 BlackEnergy 还存在的一些特殊的能力，不仅仅局限于 DDOS 攻击。

其攻击目标为乌克兰的ICS，能源，政府和媒体以及环球的ICS/SCADA公司和能源公司。

2015 年 11 月 22 日凌晨，克里米亚遭乌克兰断电，近 200 万人受影响。
2015 年 12 月 23 日，乌克兰电力网络受到黑客攻击，导致伊万诺-弗兰科夫斯克州 22.5 万民众失落去电力供应长达 6 小时。

7.Industroyer

2017 年 6 月 12 日，一款针对电力变电站系统进行恶意攻击的工控网络攻击武器 Industroyer 被ESET表露。
通过剖析，我们创造该攻击武器可以直接掌握断路器，可导致变电站断电。
Industroyer 恶意软件目前支持四种工控协议：IEC 60870-5-101、IEC 60870-5-104、IEC 61850以及OLE for Process Control Data Access（简称OPC DA）。
这些协议广泛运用在电力调度、发电掌握系统以及须要对电力进行掌握行业，例如轨道交通、石油石化等主要根本举动步伐行业，尤其是 OPC 协议作为工控系统互通的通用接口更广泛运用在各工控行业。
可以看出，攻击者对付工控系统尤其是电力系统干系的工控协议有着深厚的知识背景，并且具有目标工控环境下的各种工控设备，攻击者须要这些设备来实现恶意代码的编写和测试事情。

与 2015 年打击乌克兰电网终极导致2015年12月23日断电的攻击者利用的工具集（BlackEnergy、KillDisk、以及其他攻击模块）比较，这款恶意软件的功能意义重大，它可以直接掌握开关和断路器，Industroyer 身后的黑客团队无论从技能角度还是从对目标工控系统的研究深度都远远超过了2015年12月乌克兰电网攻击背后的黑客团队。

通过对该批恶意软件的编译韶光推测该恶意软件曾被利用来攻击乌克兰的变电站导致2016年12月那次半个小时的乌克兰停电事宜。
目前可以说 Industroyer 恶意软件是继 STUXNET、BLACKENERGY 2以及 HAVEX 之后第四款对针对工业掌握系统进行攻击的工控武器。

其攻击目标为乌克兰的ICS，能源，政府和媒体以及环球的 ICS/SCAD A公司和能源公司。

据推测，2016 年 12 月那次半个小时的乌克兰停电事宜是由 Industroyer 攻击导致。

8.GreyEnergy

2018 年 10 月 18 日，ESET 研究团队称创造一个新的 APT 组织 GreyEnergy，且该 APT 组织是 BlackEnergy 的继续者，因 BlackEnergy 在 2015 年引发乌克兰大停电而名声大噪，此后便偃旗息鼓，而GreyEnergy的活动记录也同时涌现，其余，2015年同期还涌现了另一个组织TeleBots（可能是2017年策划大规模NotPetya病毒的爆发的幕后黑手）。
除了两者险些同时涌现之外， GreyEnergy在2016年利用的一种毁坏性恶意软件Moonraker Petya。
顾名思义，它与NotPetya类似，虽然不太前辈，但是这表明GreyEnergy和TeleBots之间的互助，或者至少是思想和代码的互换。

ESET研究团队认为BlackEnergy演化为两个独立的组织：TeleBots 和 GreyEnergy。

GreyEnergy 紧张针对乌克兰和波兰的能源部门、交通部门等高代价目标，攻击行为紧张是网络侦查（即特工行为）。
GreyEnergy 与 BlackEnergy 具有很多相似之处，它也是采取模块化构造，目前已经创造的模块有：注入模块、获取系统信息模块、文件管理模块、屏幕截图模块、键盘记录模块、密码和凭据盗取模块、代理模块、ssh隧道模块等，但是至今仍未创造专门针对 ICS 的恶意软件模块。

据目前所获情报，这次攻击紧张对乌克兰和波兰的能源部门及交通部门进行渗透攻击，以期获取干系数据和情报。

可能导致乌克兰和波兰的能源干系主要部门的信息透露，内部敏感信息、干系技能资料内部网络架构等主要信息被盗取。

9.VPNFilter

VPNFilter 恶意代码是由思科 Talos 团队首次公开，因其危害极其严重，Talos并未完玉成体剖析。
VPNFilter恶意代码旨在入侵物联网设备（路由器、网络存储设备等）从事可能由国家发起的环球性的高等恶意软件攻击。
截止 2018 年 5 月 23 日，至少有 54 个国家遭入侵，已传染约 50 万台路由器。
由于其核心模块文件为 VPNFilter，故该恶意代码也被命名为“VPNFilter”。
FBI称这次攻击与俄罗斯政府支持的黑客组织Fancy Bear有关。
Fancy Bear又称作奇幻熊、APT28、Sofacy Group、Pawn Storm、Sednit。

自 2007 年以来，Fancy Bear一贯在进行网络特工活动，入侵过北约、奥巴马白宫、法国电视台、天下反愉快剂机构和无数非政府组织以及欧洲、中亚和高加索地区的军事和民间机构，是一个臭名昭著的黑客组织。

在 2018 年 5 月 8 日涌现大规模的以乌克兰为紧张目标的攻击活动，并且在 5 月 17 日乌克兰的受传染设备涌现大幅度增加，这些受传染设备均受控于C&C 46.151.209.33, 看起来这次攻击目标彷佛瞄准乌克兰。

乌克兰电力系统曾经受到过两次黑客攻击，并且导致了停电事件。

10.Triton

2017 年 11 月中旬，Dragos Inc.团队创造了针对 ICS 量身定做的恶意软件，并将此恶意软件命名为TRISIS（又被称为 Triton 和 HatMan），同年 12 月， FireEye 发布了 Triton 的剖析报告。
Triton 是首款针对安全仪表系统进行攻击的恶意软件，Triton 恶意软件旨在针对施耐德电气的工业环境中利用的 Triconex安全仪表系统（SIS）掌握器，共采取 5 种不同开拓措辞构建，仅能在其瞄准的工业设备上实行。
TRIRON恶意代码可对 SIS 系统逻辑进行重编辑，使 SIS 系统产生意外动作，对正常生产活动造成影响；能使SIS系统失落效，在发生安全隐患或安全风险时无法及时实施和启动安全保护机制，从而对生产活动造成影响；还可以对DCS系统履行攻击，并通过SIS系统与DCS系统的联合浸染，对工业设备、生产活动以及职员康健造成毁坏。

2018 年 5 月 4 日，Dragos 公司称 Triton 背后的黑客组织 Xenotime 已经扩大了攻击范围，除了攻击施耐德电气的 Triconex 以外还针对其它的系统。

Xenotime 黑客组织可能自 2014 年开始生动，于 2017 年成功攻击中东一家石油天然气工厂，致其工厂停运。
工业网络安全和威胁情报公司 CyberX 的研究职员曾认为，Triton的幕后黑手是伊朗，但Dragos并未供应任何有能够证明此预测的证据信息。
Dragos 公司指出，尚未创造 Xenotime 与其它已知黑客组织存在关联的线索。

2018 年 10 月 23 日，FireEye 称他们创造了 Triton 恶意软件与位于莫斯科的俄罗斯政府研究机构中心化学与机器科学研究所(CNIIHM)之间的联系：样本中措辞西里尔文和时区与俄罗斯干系；通过剖析测试文件PDB路径的字符串，创造一段分外字符串可能是俄罗斯信息安全社区生动用户（从2011年开始生动）的昵称，结合被废弃的社交媒体资料，推测出这个人是CNIIHM的教授，该教授位于莫斯科 Nagatino-Sadovniki 区的 Nagatinskaya 街附近；该研究所注册的一个IP地址（87.245.143.140）参与了Triton攻击。
此外，值得一提的是CNIIHM具备开拓Triton恶意软件的能力，它拥有专门研究关键根本举动步伐保护和武器及军事装备开拓的研究部门，并与广泛的其他组织互助，包括打算机科学，电气工程，国防系统和信息技能。

它的攻击至少针对一个中东地区的组织。
其他利用施耐德电气的Triconex安全仪表系统（SIS）掌握器的能源单位也面临被攻击的风险，据不完备统计，该型号的掌握器被环球 1.8 万家工厂利用，个中包含核干系举动步伐。

2017年其成功攻击中东一家石油天然气工厂，导致这家工厂停滞运营。

雷锋网注：上述资料由启明星辰 ADLab 整理剖析，雷锋网编辑，详细攻击事理及完全报告可以查阅《启明星辰ADLab：工控十大网络攻击武器剖析报告》。

----招聘好基友的分割线-----

雷锋网宅客频道（微信公众年夜众号：letshome），专注先锋科技，讲述黑客背后的故事。

招聘岗位：

网络安全编辑（采编岗）

事情内容：

紧张卖力宣布国内外网络安全干系热点新闻、会议、论坛、公司动向等；

采访国内外网络安全研究职员，撰写原创宣布，输出领域的深度不雅观点；

针对不同发布渠道，策划不同类型选题；

参与打理宅客频道微信"大众号等。

岗位哀求：

对网络安全有兴趣，有干系知识储备或从业经历更佳；

科技媒体1-2年从业履历；

有独立采编和撰写原创宣布的能力；

加分项：网感好，善于新媒体写作、90后、英语好、自带段子手属性……

你将得到的是：

与国内外网络安全领域顶尖安全大牛聊人生的机会；

海内出差可能不新鲜了，我们还可以硅谷轮岗、国外出差（+顺便玩耍）；

你将体验各种前沿黑科技，节制一手行业新闻、大小公司动向，乃至是黑客大大们的独家秘闻；

老司机编辑手把手带；

以及与你的能力相匹配的薪水。

坐标北京，简历投递至：liqin@leiphone.com