工控安全:BlackEnergy(黑暗力量)利用西门子WinCC系统已修复的漏洞发动攻击

研究人员近日发现,恶意软件BlackEnergy(黑暗力量)正在利用西门子SIMATIC WinCC(西门子最经典的过程监视系统)已经修复的漏洞重新攻击SCADA HMI系统。

卷土重来:BlackEnergy再更新

BlackEnergy(黑暗力量)是一款自动化的网络攻击工具,集成了多类黑客工具的功能。 其客户端采用了插件的方式进行扩展,第三方开发者可以通过增加插件实现更多的功能。在不久前经过一次升级后,BlackEnergy已经可以对路由器、Linux系统、Windows系统发起攻击,其中包括思科类网络设备。

日前,工业控制系统网络应急响应小组(ICS-CERT)的研究人员发现攻击者使用BlackEnergy攻击HMI(人机接口)系统。研究人员称攻击者专门完善了该恶意软件,完善后的恶意软件可以利用西门子SIMATIC WinCC已经修复的漏洞进行攻击。

11月11日,西门子 发布 了SIMATIC WinCC系统(西门子最经典的过程监视系统)的软件更新,修复了两个高危漏洞,其中一个是未授权远程代码执行漏洞。

今年10月份,ICS-CERT警告ICS和 SCADA 中存在该高危漏洞,而且正被攻击者频繁的利用:

 

瞄准HMI

ICS-CERT警告称BlackEnergy主要会对下面的三种HMI产品展开攻击:GE Cimplicity, Advantech/Broadwin WebAccess和西门子WinCC。

到目前为止,ICS-CERT尚未检测到任何企图毁坏,修改,或者破坏系统的情况,ICS-CERT还无法验证攻击者是否透过HMI进入到了下层的工控系统中。ICS-CERT的专家已经确认BlackEnergy利用了一个西门子SIMATIC WinCC最近修复的漏洞进行攻击活动。

 

SCADA和ICS系统的安全性是网络安全中的顶梁柱,透过BlackEnergy的攻击事件可以看 出攻击者们的攻势越来越强大,同时也暗示着美国的重要基础设施越来越危险。