SCADA 网络首次遭密币挖矿恶意软件感染
翻译:360代码卫士团队
信息安全研究人员发现了首个大型工控系统网遭密币挖矿恶意软件感染的案例。
SCADA 安全机构 Radiflow 指出,在某个水务设备的计算机系统中发现了恶意软件的身影。用于监控并规范关键供水的运营服务器已遭恶意代码感染,这些恶意代码秘密挖掘门罗币并通过网络发送给控制者。
据悉,这款恶意软件占用处理器时间、在网上大量转移数据并可能利用工业网络往往未运行最新安全补丁的事实发动攻击。工业网络未运行最新安全补丁的原因是工业网络监控的是无法遭恶意更新中断或破坏的关键进程。
简言之,恶意代码运行在接近重要系统上并无好处。好在它运行的只是挖掘门罗币的恶意软件而非更险恶的软件。
Radiflow 公司的首席技术官 Yehonatan Kfir 表示,“密币恶意软件攻击消耗极高的CPU处理和网络带宽,可能威胁到关键基础设施运营商物理进程的稳定性和可用性。操作技术网络中的计算机运行着敏感的人机界面和 SCADA 应用,而它们无法获得最新的 Windows、反病毒和其它重要更新,而且总是易受恶意软件攻击。”
感染水务设备的恶意软件家族并未获得命名,而且听起来似乎相对较为复杂:某人的笔记本电脑的网页上不仅仅运行着一个 JavaScript 挖矿机。它使用了混淆技术如关闭任何已安装反病毒工具,而且被设计为隐形状态以便将其赚钱能力最大化。
研究人员从遭渗透的硬件之外的 HTTP 链接中发现异常流量,而且这些计算机试图将数据发送给已被识别为恶意软件命令和服务器机器的服务器中。据悉,被隐藏的挖矿机已从该污水处理厂系统中被删除。
密币挖矿感染正在快速成为网络犯罪分子赚快钱的首选方法。即使勒索软件也不敌挖矿感染,部分原因是人们越来越意识到备份的重要性而反病毒工具在拦截勒索软件方面也变得更加有效。
关于恶意软件是如何入侵到 SCADA 网络中的尚无任何说法。它可能是由某个不怀好意的员工植入的,或者是经由某个硬件端口入侵的,亦或是通过被某个粗心大意的管理员开放的网络服务入侵的。
Radiflow 公司的首席执行官 Iian Barda 表示,公司正在调查感染的缘由,不过这款恶意软件可能是在某个人员使用服务器上的某个浏览器访问了不该访问的网站之后被安装的。恶意软件可能会被不小心下载并运行,而且它可能利用网络文件共享在公司的计算机中移动。鉴于客户保密协议的存在,该公司的名称并未遭披露。
Barda 解释称,“我们看到的情况是,它进入了其中一个服务器中,并且利用 SMB 漏洞转移到其它服务器上。这种系统存在的一个主要问题是,它们无法得到正确修复或运行安全软件,因此一旦遭感染,恶意软件就很容易感染网络中的其它计算机。”
这款门罗币挖矿软件同样来自 Coinhive 的代码,它高速地运行着被感染的服务器 CPU,而且很可能收割了大量密币。一台运行 Coinhive 的标准计算机每天能挖掘约25美分,而服务器的功能更加强大,可生成更多的加密现金。
值得庆幸的是,这个挖矿代码似乎并未影响该公司的正常运营。Radiflow 公司正在和监管机构合作锁定遭感染的网络并在联网设备中检查是否存在其它恶意软件。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.theregister.co.uk/2018/02/08/scada_hackers_cryptocurrencies/