卷土重來:BlackEnergy再更新
責編:admin |2014-12-17 14:48:47研究人員近日發現,惡意軟件BlackEnergy(黑暗力量)正在利用西門子SIMATIC WinCC(西門子最經典的過程監視系統)已經修復的漏洞重新攻擊SCADA HMI系統。
BlackEnergy(黑暗力量)是一款自動化的網絡攻擊工具,集成了多類黑客工具的功能。其客戶端采用了插件的方式進行擴展,第三方開發者可以通過增加插件實現更多的功能。在不久前經過一次升級后,BlackEnergy已經可以對路由器、Linux系統、Windows系統發起攻擊,其中包括思科類網絡設備。
日前,工業控制系統網絡應急響應小組(ICS-CERT)的研究人員發現攻擊者使用BlackEnergy攻擊HMI(人機接口)系統。研究人員稱攻擊者專門完善了該惡意軟件,完善后的惡意軟件可以利用西門子SIMATIC WinCC已經修復的漏洞進行攻擊。
11月11日,西門子發布了SIMATIC WinCC系統(西門子最經典的過程監視系統)的軟件更新,修復了兩個高危漏洞,其中一個是未授權遠程代碼執行漏洞。
今年10月份,ICS-CERT警告ICS和SCADA中存在該高危漏洞,而且正被攻擊者頻繁的利用:
"ICS-CERT已經檢測到了多起使用BlackEnergy變種攻擊工業控制系統(ICSs)的攻擊事件。分析表明這種類型的攻擊從2011年就開始了,在ICS-CERT合作的眾多公司的人機接口(HMIs)處也檢測到了這種病毒。"
ICS-CERT警告稱BlackEnergy主要會對下面的三種HMI產品展開攻擊:GE Cimplicity, Advantech/Broadwin WebAccess和西門子WinCC。
到目前為止,ICS-CERT尚未檢測到任何企圖毀壞,修改,或者破壞系統的情況,ICS-CERT還無法驗證攻擊者是否透過HMI進入到了下層的工控系統中。ICS-CERT的專家已經確認BlackEnergy利用了一個西門子SIMATIC WinCC最近修復的漏洞進行攻擊活動。
"盡管ICS-CERT還沒有確切的證據表明 WinCC的系統是怎么被BlackEnergy攻擊,但有證據表明西門子SIMATIC WinCC最近修復的漏洞確實被BlackEnergy利用于攻擊活動了。ICS-CERT強烈建議WinCC, TIA Portal和PCS7的用戶盡快升級到最新版本。"
SCADA和ICS系統的安全性是網絡安全中的頂梁柱,透過BlackEnergy的攻擊事件可以看出攻擊者們的攻勢越來越強大,同時也暗示著美國的重要基礎設施越來越危險。