工控网首页
>

应用设计

>

【专家博客】Shamoon恶意软件与SCADA安全

【专家博客】Shamoon恶意软件与SCADA安全

       继Stuxnet之后最新发现的高级威胁是一种名为Shamoon的恶意软件。像Stuxnet、Duqu、Flame一样,其目标是中东的能源公司,包括沙特阿美石油公司,可能还有卡塔尔RasGaz等区域的油气公司。但是这是一种新品种的病毒,因为它并不像Stuxnet一样破坏工业流程,也不像Flame和Duqu一样暗中盗窃商业信息。相反,它删改了Saudi Aramco的30,000台工作站的硬盘驱动器上的信息。

       卡巴斯基实验室的专家说“当今世界,毁灭性的恶意软件是很少见的;网络犯罪的主要目的是经济利益。像这里的类似情况不会经常出现的。”

       Shamoon对SCADA和ICS安全来说意味着什么?分几个段落来思考这个问题…

 Saudi Aramco总部。工作站硬盘驱动器数据被Shamoon病毒删除的站点之一。照片来源:维基百科

Shamoon是什么?

       Symantec、卡巴斯基实验室和Seculert于2012年8月16日发布公告称,Shamoon首先控制了Saudi Aramco的一台与Internet连接的电脑。然后利用这台电脑与外部命令和控制服务器通讯,感染了其他未连网的运行Windows系统的电脑。

       Shamoon这个名字来源于恶意软件可执行文件内的文件夹名:
        “c:\shamoon\ArabianGulf\wiper\release.pdb”

       尽管还不清楚“Shanmoon”这个单词的意义,但据推测它是恶意软件开发者之一的名字。Shamoon即阿拉伯语中西蒙的意思。

       Symantec描述Shanmoon有三个部分:

       1. Dropper –原始感染的主要部分和来源。它将2、3部分带到被感染电脑,复制到网络共享,在Windows启动时执行并创建服务以发动攻击。

       2. Wiper –这是一个毁灭性的模块。它编译了一份被感染电脑指定位置的文件清单,擦除他们,并将文件信息发送给攻击者。使用损坏的jepg文件覆盖被擦除的文件,“阻止受害者将文件恢复”。

       3. Reporter –该模块将感染信息发送给攻击者的中央电脑。
       这些听起来很复杂,但是卡巴斯基实验室的专业分析员推断称,考虑到代码中出现的一些错误, Shamoon的开发人员应该是“技能熟练的业余爱好者们”。他们与Stuxnet和Flame的程序员不是同一个联盟的。

Shamoon造成了哪些破坏?

       2012年8月15日Saudi Aramco在其Facebook上发帖

       “…由于在电子网络的几个分区在意外破坏后及时采取了预防措施,公司已经将所有的电子系统与外部访问进行了隔离。怀疑此次破坏是由病毒引起的,该病毒感染了个人工作站但未对网络重要部分造成影响。”

       后来他们告诉路透社

       “Shamoon病毒通过公司网络传播,并抹去电脑硬盘驱动器上的数据。Saudi Aramco说破坏局限于办公电脑,并没影响可能损害技术操作的系统软件。”

       但是,CIO博主Constantine von Hoffman指出

       “破坏30,000台工作站而不造成大规模的损害是不可能的。攻击可能不是直接袭击石油生产或破坏石油管道的。与我谈话的人也这样认为,但是很明显,如果该公司的声明是正确的,那么Aramco对词组“石油生产”做了非常严格的解读。”

       Saudi Aramco声明所有的破坏都于8月26日之前修复了。von Hoffman先生对比表示质疑,他也怀疑在合资企业支配油气项目的时代,其他能源公司的电脑怎么会没被Shamoon破坏。


像公司其他的生产现场一样,Saudi Aramco的Uthmaniyah天然气加工厂表面上似乎没受到Shamoon恶意软件的影响。图片来源:Saudi Aramco。

谁创造了Shamoon?他们为什么这样做?

       据近期报道,Shamoon攻击是由业内人士发起的。国际黑客组织正义之剑“Cutting Sword of Justice”声称对此次攻击是他们所为。这样看来,这次攻击的动机是破坏沙特政府的主要收入来源。如果该组织是Shamoon的幕后黑手,其可能成为电脑黑客攻击的一个里程碑。这将是业余爱好者和黑客首次取得类似于政府网络攻击团队才能完成的项目。

       有关Shamoon创造者动机的另一条线索是它的部分代码包含了一副图像的一部分,这幅图像是一副燃烧着的美国国旗,这是从维基百科图像中推断出来的。破坏沙特阿美石油公司最终可能会破坏美国的能源供应。

Shamoon与SCADA和ICS安全有什么关系呢

       Shamoon破坏了阿拉伯海湾能源公司工作站的数据。没有证据表明它对ICS和SCADA系统有任何影响。

       这对自动化专业人员来说意味着什么呢?好消息是,像Stuxnet, Flame和Duqu一样,Shamoon的针对性很强。但坏消息是,这告诉我们,工业,尤其是能源行业现在已经成为了攻击目标。
模仿者侵入保护良好的网络并销毁数据,这些带给我们的恐惧不亚于我们想象一下恐怖分子带着核武器时的恐惧。这种情况下,所有的交战规则都不适用!

       称它为“网络战争”或“网络炒作”,最主要的原因是信息/网络领域正面临与日俱增的威胁,ICS和SCADA系统也是该领域的一部分。

关于Shamoon你有什么看法?它的发现是否影响了你的安全策略?

投诉建议

提交

查看更多评论
其他资讯

查看更多

能源领域网络安全框架实施指南(英文版)

【指导手册】有效网络防御的关键控制

【操作指南】SCADA与过程控制网络防火墙配置指南

【指导手册】控制系统安全实践汇编

【操作指南】工业控制系统(ICS)安全指南