ESET的安全研究人員發(fā)現(xiàn)了一種可能導(dǎo)致烏克蘭首都基輔2016年大停電的惡意軟件。去年12月中旬，一場網(wǎng)絡(luò)攻擊對該市北部的一個變電站造成了破壞，導(dǎo)致該地區(qū)停電。次攻擊發(fā)生在2015年12月烏克蘭境內(nèi)許多地區(qū)的惡意軟件BlackEnergy造成重大停電一年之后，導(dǎo)致25萬戶家庭無電。據(jù)ESET稱，這就是相似之處的結(jié)束。ESET發(fā)現(xiàn)并分析了一種名為Industroyer的無關(guān)惡意軟件的樣本，這些惡意軟件可能導(dǎo)致2016年出現(xiàn)的損害類型。

BlackEnergy攻擊使用合法的遠程訪問軟件來控制運營商的工作站，切斷電源，而Industroyer則能夠直接控制變電站開關(guān)和斷路器。從技術(shù)上講，惡意軟件的潛在影響范圍從簡單地關(guān)閉電源到級聯(lián)故障和嚴重的設(shè)備物理損壞。

令人擔憂的是，它利用的通信協(xié)議并非烏克蘭能源網(wǎng)絡(luò)所獨有，但實際上不僅在全球范圍內(nèi)用于電力供應(yīng)基礎(chǔ)設(shè)施，而且還用于運輸，水和天然氣等關(guān)鍵系統(tǒng)。

ESET的高級惡意軟件研究員Anton Cherepanov 在一篇博客文章中說：“Industroyer的危險在于它使用協(xié)議的方式被設(shè)計使用，” 問題是這些協(xié)議是幾十年前設(shè)計的，當時的工業(yè)系統(tǒng)意味著與外界隔絕。

“因此，他們的通信協(xié)議并沒有考慮安全性。這意味著攻擊者不需要尋找協(xié)議漏洞;他們所需要的就是教惡意軟件'說'那些協(xié)議'。”

他補充說：“雖然原則上很難在不進行現(xiàn)場事件響應(yīng)的情況下將攻擊歸咎于惡意軟件，但很有可能在2016年12月對烏克蘭電網(wǎng)的攻擊中使用了Industroyer。此外，惡意軟件明顯存在擁有執(zhí)行攻擊的獨特功能，它包含2016年12月17日停電當天的激活時間戳。“

在ESET披露其對Industroyer的研究之后，Imperva的首席產(chǎn)品策略師Terry Ray表示：“我們開始看到基礎(chǔ)設(shè)施攻擊的上升，而對于Industroyer，攻擊者似乎對工業(yè)控制有廣泛的了解。協(xié)議。

“雖然這些攻擊者似乎滿足于破壞系統(tǒng)，但他們可能更進一步并且對系統(tǒng)本身造成損害的可能性并非超出范圍。雖然ICS [工業(yè)控制系統(tǒng)]在能源和水中被大量使用，它們當然都是關(guān)鍵的基礎(chǔ)設(shè)施，它也用于大規(guī)模自動化，包括制造業(yè)，航運業(yè)，航空航天業(yè)和其他應(yīng)該注意到這些漏洞的行業(yè)。“