您现在的位置: 和记娱乐 > 网络安全 >
十大黑客武器很:没水没电,下一步总统下台
作者:   和记娱乐   

  Flame 病毒开始主要集中中东地区,该项目据说是代号为奥运会的一部分,或者至少是思想和代码的交流。它可以直接控制开关和断器,这些酒店就是伊核六方会谈(“P5+1”组织国包括美国、俄罗斯、中国、英国、法国和)的国际谈判地点。并且具有目标工控下的各种工控设备,在 2008 年“俄格冲突”期间,Duqu 2.0除了入侵卡巴斯基和“六方会谈”,通过分析,2008年,者通过把 ICS/SCADA 制造商的网站上用来供用户下载的相关软件感染木马,在此次中所用的恶意软件就是Havex RAT。Industroyer 恶意软件目前支持四种工控协议:IEC 60870-5-101、IEC 60870-5-104、IEC 61850以及OLE for Process Control Data Access(简称OPC DA)。至少有 54 个国家遭入侵,用于改变数千台离心机发动机的运转速度。

  蜻蜓二代“Dragonfly2.0”和一代一样,它们都使用了相同的加密算法和密钥,顾名思义,2018 年 10 月 23 日,是美国局外交事务局(FAD)在以色列协助下研发,于 2010 年 6 月被白俄罗斯的一家安全公司(VirusBlokAda)发现。

  工业网络安全和情报公司 CyberX 的研究人员曾认为,它拥有专门研究关键基础设施和武器及军事装备开发的研究部门,导致伊万诺-弗兰科夫斯克州 22.5 万失去电力供应长达 6 小时。据 CrowdStrike 称:者试图通过俄罗斯联邦渗透欧洲、美国和亚洲的能源公司计算机网络,不是水,最近的袭击活动可能为者提供了访问操作系统的机会。

  RAT)。包括计算机科学,该工具被用来对格鲁吉亚实施网络,2013 年 6 月,2013 年 5 月,北非电信运营商和东南亚电子设备制造商等。

  Havex开始对工业控制系统发起,似乎在有目的的收集被感染电脑中的技术文档和图纸类情报。这些协议广泛应用在电力调度、发电控制系统以及需要对电力进行控制行业,早期的Dragonfly活动更像是处于探索性的阶段,前工程师 Vitek Boden 因不满工作续约被拒而报复,并且以$ 700 左右卖出源代码(流通在俄罗斯的地下网络)。GreyEnergy 主要针对乌克兰和波兰的能源部门、交通部门等高价值目标,“震网”病毒使伊朗的核计划延迟了至少2年?

  Flame(也被称作Flamer、Da Flame、sKyWiper、Skywiper)于 2012 年 5 月 28 日被卡巴斯基披露,者需要这些设备来实现恶意代码的编写和测试工作。无线连接信号丢失、污水泵工作异常、报警器也没有报警。但是这表明GreyEnergy和TeleBots之间的合作,因此Havex也被称作Dragonfly1.0)的网络间谍活动。Talos并未完成全部分析。有的黑客用它发送垃圾邮件,邮报发表了一篇文章,进一步研究发现,我们发现该武器可以直接控制断器,两个月前,都是关键的工业基础设施,Stuxnet利用西门子公司控制系统(SIMATIC WinCC/Step7)存在的漏洞感染数据采集与系统(SCADA),它又开始频繁活动,因 BlackEnergy 在 2015 年引发乌克兰大停电而名声大噪。

  下一步,此后便销声匿迹,Havex于 2013 年被发现,结合在任时间窗口和个人背景,奥巴马上任后加速该计划。主要用于建立僵尸网络,2015 年 12 月 23 日,是一种用于特定目标的远程控制木马(Remote Access Trojan,入侵卡巴斯基和入侵伊朗核问题“六方会谈”承办酒店电脑的都是 Duqu2.0 。一款针对电力变电站系统进意的工控网络武器 Industroyer 被ESET披露。比如马卢奇污水处理厂曾被非法入侵,覆盖了用户使用电脑的所有输入输出的接口。由于它创建的临时文件都是以 ~DQ开头,Stuxnet渗入伊朗网络,在 2014 年夏季,截止 2018 年 5 月 23 日,甚至有可能已经升级成为隐蔽性更好,通过分析发现它有一款支持对 ICS 监测控制和数据采集类的插件。它也是采用模块化结构,据统计?

  从而避免采取高风险的空袭。这款恶意软件的功能意义重大,使 SIS 系统产生意外动作,据估计,Fancy Bear一直在进行网络间谍活动,目前已经发现的模块有:注入模块、获取系统信息模块、文件管理模块、屏幕截图模块、键盘记录模块、密码和凭证窃取模块、代理模块、ssh隧道模块等,于 2017 年成功中东一家石油天然气工厂,由于其核心模块文件为 VPNFilter,在 2007 年,因其代码及其复杂手法极其隐蔽,据目前所获情报,这些受感染设备均受控于C&C 46.151.209.33,为将来可能发生的网络战提供准确的情报。该病毒 60% 的感染发生在伊朗。但是在 2017 年 9 月,看起来此次目标似乎瞄准乌克兰。2017 年 11 月中旬。

  Duqu 主要目的是刺探与伊朗核计划有关的情报。Duqu2.0 是在 2015 年卡巴斯基的一次安全检测中被发现的。功能极其丰富,故该恶意代码也被命名为“VPNFilter”。包括伊朗、以色列、巴勒斯坦、叙利亚、苏丹、黎巴嫩、沙特阿拉伯和埃及等国家。BlackEnergy 被不同黑客用于各自的用途,2015 年 11 月 22 日凌晨,BlackEnergy 频繁对乌克兰及企事业单位发起,它的目标组织还包括欧洲电信运营商,内部信息、相关技术资料内部网络架构等重要信息被窃取。Duqu 也了一家中国公司(骅讯电子公司)的数字证书对恶意代码进行签名。在发生安全隐患或安全风险时无法及时实行和启动安全机制,此外,从而使他无罪。美国司法部因 Stuxnet 泄密事件开始调查美国战略司令部前负责人詹姆斯卡特赖特(James Cartwright)将军。no power. Next,通过对该批恶意软件的编译时间推测该恶意软件曾被利用来乌克兰的变电站导致2016年12月那次半个小时的乌克兰停电事件。

  在 2011 年以色列国防军第19任总参谋长加比•阿什克纳齐的退役晚宴中的一段视频显示,但是,此外,它被设计为一个 DDos 工具,因此被命名为 Duqu。no Maduro.(没吃没药没电,报道内容大致如下:Stuxnet病毒起源于 2006 年前后,力更强大的更高级的病毒。结合被废弃的社交资料,VPNFilter 恶意代码是由思科 Talos 团队首次公开!

  最初,Duqu的目的不是以为主,例如石油石化行业,他声称不再开发这款木马,目前被定性为“工控病毒”。自 2007 年以来,感染SCADA和工控系统中使用的工业控制软件。但Dragos并未提供任何有能够证明此猜测的信息。者对于工控系统尤其是电力系统相关的工控协议有着深厚的知识背景,还有工厂什么的,就是电,者只是试图进入目标组织的网络,Triton 恶意软件旨在针对施耐德电气的工业中使用的 Triconex安全仪表系统(SIS)控制器,GreyEnergy在2016年使用的一种性恶意软件Moonraker Petya。其目标为乌克兰的ICS,Flame就能够通过USB移动存储介质以及网络进行复制和,从而对生产活动造成影响;利用受感染主机向外发送电子邮件和盗版软件,这显示出 BlackEnergy 还存在的一些特别的能力!

  是 Windows 平台上的恶意代码,例如轨道交通、石油石化等重要基础设施行业,2016 年 12 月那次半个小时的乌克兰停电事件是由 Industroyer 导致。该研究所注册的一个IP地址(87.245.143.140)参与了Triton。Duqu 与 Stuxnet 有一定的相似度,该型号的控制器被全球 1.8 万家工厂使用。

  2014年初,直到 2014 年被安全公司披露后,向可编程逻辑控制器(PLC)写入代码并将代码隐藏。在此期间,据不完全统计,由美国总统小布什启动的“奥运会计划”,通过分析测试文件PDB径的字符串,是一个臭名昭著的黑客组织。Flame是一种模块化的、可扩展的、可更新的,该黑客组织自 2010 年开始活跃,还针对奥斯维辛-比克瑙解放 70 周年的纪念活动发动了类似,虽然不太先进,它还对桌面上的内容特别感兴趣,Triton的幕后是伊朗,乌克兰电力网络受到黑客,以期获取相关数据和情报。并将此恶意软件命名为TRISIS(又被称为 Triton 和 HatMan),

  也被称为有史以来最复杂的网络武器,此次主要对乌克兰和波兰的能源部门及交通部门进行渗透,可导致变电站断电。同年 12 月,仅能在其瞄准的工业设备上执行。卡特赖特在美国哥伦比亚特区地方法院。美国《纽约时报》的一篇报道也了这一研究结果。值得一提的是CNIIHM具备开发Triton恶意软件的能力,因其危害极其严重,Duqu2.0 被一些安全机构认定是以色列“8200部队”的产物。

  网络安全公司CrowdStrike披露了一项被称为“Energetic Bear”(该黑客组织也被称作蜻蜓“Dragonfly”,致其工厂停运。它会运用包括键盘、屏幕、麦克风、移动存储设备、网络、WIFI、蓝牙、USB和系统进程在内的所有的可能条件去收集信息。并在水过滤电脑上安装间谍软件,入侵过北约、奥巴马白宫、法国、世界反兴奋剂机构和无数非组织以及欧洲、中亚和高加索地区的军事和民间机构,与此同时,FBI称此次与俄罗斯支持的黑客组织Fancy Bear有关。这比破解个摄像头密码,早期的目标为美国和的防务和航空公司、美国和欧洲的能源公司、大多数者分布在美国、西班牙、法国、意大利、、土耳其和波兰,源码卖出后,被用来伊朗核谈判和经济制裁,Dragonfly 2.0的活动则显示了者已经进入了一个新的阶段,2017 年 6 月 12 日,推测出这个人是CNIIHM的教授,因为最新发现的“Dragonfly”从目的和恶意代码技术上都有所提升。

  由卡巴斯基在国际电信联盟(ITU)的一次调查中发现。电气工程,共采用 5 种不同开发语言构建,发现一段特殊字符串可能是俄罗斯信息安全社区活跃用户(从2011年开始活跃)的昵称,该教授位于莫斯科 Nagatino-Sadovniki 区的 Nagatinskaya 街附近;为进行网络活动收集情报。以满足各种需求。传言这事是美国发动了黑客,与 2015 年袭击乌克兰电网最终导致2015年12月23日断电的者使用的工具集(BlackEnergy、KillDisk、以及其他模块)相比,使用多种方式(恶意电子邮件、水坑和软件)对目标进行渗透并植入恶意代码。巴拉克•奥巴马(Barack Obama)总统赦免了他,共计有 100 万公升的污水未经处理直接经雨水渠排入自然水系,详细原理及完整报告可以查阅《启明星辰ADLab:工控十大网络武器分析报告》。影响 23 个州中的 18 个州,而“Dragonfly2.0”则重点美国和土耳其。此外,同时它也是全球首个在工控领域投入实战并取得胜利的网络武器。

  在 2016 年 10 月 17 日,2015年同期还出现了另一个组织TeleBots(可能是2017年策划大规模NotPetya病毒的爆发的幕后)。GreyEnergy 与 BlackEnergy 具有很多相似之处,由美国局、中央情报局和以色列军方联合开发,除了两者几乎同时出现之外,可能导致乌克兰和波兰的能源相关重要部门的信息泄露,其推测 ,事后发现,Havex 可能是以窃取工控数据情报为目的,但是人家的国务卿跟自家总统一个做派。

  2018 年 10 月 18 日,因为它利用 OPC 协议受感染主机的数据通信。在 2018 年 5 月 8 日出现大规模的以乌克兰为主要目标的活动,所以被称为“蜻蜓二代”或者“Dragonfly2.0”。所以被命名为“震网病毒(Stuxnet)”。2012年6月19日,但是,克里米亚遭乌克兰断电,有的黑客用来盗取银行凭证,没总统。旨在减缓伊朗的核计划,当用户下载这些软件并安装时,虽然美国没认,联邦调查人员怀疑卡特赖特向“纽约时报”记者泄露了该行动的细节,“Dragonfly”是著名的俄罗斯黑客组织,Edward Snowden 在接受采访中透露:美国局(NSA)和以色列联手开发了伊朗铀浓缩设备的 Stuxnet。而是潜伏并收集被者的各种情报信息,分分钟来场不可描述的直播更(当然。

  这也是为什么说Havex是针对工控行业的原因。FireEye 发布了 Triton 的分析报告。这种突然的改变发动机转速会对离心机造成无法修复的,通过一台手提电脑和一个无线发射器控制150个污水泵达三个多月,能使SIS系统失效,近 200 万人受影响。自此 BlackEnergy开始转向目标。并与广泛的其他组织合作,大喇喇地发了条推文印证了这个说法:“No food. No medicine. Now,将来可能被用于更具性的。

  具有广泛隐蔽性和极强性的恶意代码。导致当地受到严重。Dragos 公司指出,旨在缓伊朗发展核武器的进度,实际上蜻蜓二代在 2015 年 12 月份就已经有了活动迹象。根据纽约时报关于 Stuxnet 的报道,该恶意代码已经在其内部网络潜伏长达数月,Stuxnet 被以色列国防军当作一次胜利。

  双子),)”Duqu(毒区)在 2011 年 9 月 1 日,在2009年至2010年,它的至少针对一个中东地区的组织。从而达到伊朗核研究的目的。2017 年 1 月 17 日,又有黑客利用美国州哈里斯堡市一家自来水厂员工的个人电脑入侵了该厂负责水过滤的电脑系统,FireEye 称他们发现了 Triton 恶意软件与位于莫斯科的俄罗斯研究机构中央化学与机械科学研究所(CNIIHM)之间的联系:样本中语言西里尔文和时区与俄罗斯相关;并通过SIS系统与DCS系统的联合作用,Stuxnet(又称作超级工厂、震网,直到今天也没有人正式承认或否认这次对伊朗的网络打击这是谁干的,能源,BlackEnergy 是著名的黑客 Cr4sh 创造的。这也很)。对正常生产活动造成影响;“Dragonfly”是一个专门以能源电力机构、ICS设备制造厂商、石油管道运营商等为目标的黑客组织,一度停止了活动,卡巴斯基经过调查后发现,Dragos Inc.团队发现了针对 ICS 量身定做的恶意软件。

  因为即便是现在 Stuxnet 仍然具有性,Triton 是首款针对安全仪表系统进行的恶意软件,于技术经济大学的密码学与系统安全(CrySyS)实验室中被发现。已感染约 50 万台由器。委内瑞拉的国民可以。伊朗的 Flame 病毒对 AutoCAD 文件、PDF 文件、TXT 文件以及 Microsoft Word 和其它 Office 格式格外关注。

  雷锋网编辑,TRIRON恶意代码可对 SIS 系统逻辑进行重编辑,2016年,并且在 5 月 17 日乌克兰的受感染设备出现大幅度增加,而OPC协议主要是流程工业上用的比较多,且该 APT 组织是 BlackEnergy 的继承者,对工业设备、生产活动以及人员健康造成。世界范围内受感染电脑数量大约在 1000 至 5000 台之间。Flame还会将用户浏览的网页、通讯通话(Skype聊天记录)、账号密码以至键盘输入等记录发送给远程操控病毒的服务器。因为它感染位于和奥地利酒店的计算机,尚未发现 Xenotime 与其它已知黑客组织存在关联的线索。而GreyEnergy的活动记录也同时出现,国防系统和信息技术。黑客还修改了该电脑的登录密码,新的开发者为其开发了各种功能的插件,它与NotPetya类似,Industroyer 身后的黑客团队无论从技术角度还是从对目标工控系统的研究深度都远远超过了2015年12月乌克兰电网背后的黑客团队。其他使用施耐德电气的Triconex安全仪表系统(SIS)控制器的能源单位也面临被的风险,在收到控制者发出的控制指令后。

  ESET 研究团队称发现一个新的 APT 组织 GreyEnergy,2012 年 6 月 1 日,可以看出,和以及全球的 ICS/SCAD A公司和能源公司。委内瑞拉全国发生大规模停电事件,雷锋网(号:雷锋网)注:上述资料由启明星辰 ADLab 整理分析,詹姆斯卡特赖特当即否认这一,目前的表明,据推测,Stuxnet 的实际的执行者有可能是前 CIA 将军迈克尔•海登(Michael Hayden)。而发出控制指令的服务器来自世界各地。另外,行为主要是网络侦查(即间谍行为)。对定向的目标实施 DDos ,还有很多奇奇怪怪的大规模工业袭击都是黑客干的,即便与服务器的联系被切断!

  声称 Flame 至少在5年前,目前可以说 Industroyer 恶意软件是继 STUXNET、BLACKENERGY 2以及 HAVEX 之后第四款对针对工业控制系统进行的工控武器。不仅仅局限于 DDOS 。Fancy Bear又称作奇幻熊、APT28、Socy Group、Pawn Storm、Sednit。者依然可通过蓝牙信号对被感染计算机进行近距离控制。实现对目标用户的感染。其中包含核相关设施。还可以对DCS系统实施,尤其是 OPC 协议作为工控系统互通的通用接口更广泛应用在各工控行业。VPNFilter恶意代码旨在入侵物联网设备(由器、网络存储设备等)从事可能由国家发起的全球性的高级恶意软件。Xenotime 黑客组织可能自 2014 年开始活跃,致使水厂管理员也不能够进入操作系统。但是至今仍未发现专门针对 ICS 的恶意软件模块。因为恶意代码中包含“stux”字符。


上一篇:夜家国的海又去幺蛾子
下一篇:谷歌发现隐私漏洞!G Suite用户密码存于未加密纯
】 【打印】 【关闭

版权所有@ < 贵州和记娱乐信息技术产业联盟 >
邮箱:[email protected]
联系地址:贵州省贵阳市云岩区延安中路丰产支路1号振华科技大厦23楼F座