安全研究人員近來發現了一種新的類似震網病毒的惡意軟件，并將其命名為：Havex，早先這種惡意軟件已被用在很多針對能源部門的網絡攻擊中。

[[115819]]

就像著名的專門設計用來破壞伊朗核項目的Stuxnet蠕蟲病毒，Havex也是被編寫來感染SCADA和工控系統中使用的工業控制軟件，這種木馬可能有能力禁用水電大壩、使核電站過載、甚至可以做到按一下鍵盤就能關閉一個國家的電網。

安全廠商F-Secure首先發現這種木馬并將其作為后門命名為W32/Havex.A，F-Secure稱它是一種通用的遠程訪問木馬(RAT,即remote access Trojan)，近來被用于從事工業間諜活動，主要攻擊對象是歐洲的許多使用和開發工業應用程序和機械設備的公司。

SMARTY PANTS，TROJANIZED INSTALLERS

要做到這點，除了諸如利用工具包和垃圾郵件等傳統感染方式外，網絡罪犯們還會使用另一種有效的方法傳播Havex，例如：滲透目標軟件公司的Web站點，并等待目標安裝那些合法APP的感染木馬的版本。

在安裝過程中，該木馬軟件釋放一個叫做"mbcheck.dll"的文件，這個文件實際上就是攻擊者用作后門的Havex惡意代碼。

F-Secure沒有指出被影響廠商的名字，但比較針對法國的一個工業機械制造商和兩個教育機構和德國的很多公司。

信息搜集

Havex RAT配備了一個新的組件，其目的是通過利用OPC(開放平臺通信)標準來收集網絡和聯網設備的信息。

OPC是一種通信標準，它允許基于Windows的SCADA應用與過程控制硬件進行交互。該惡意軟件會掃描本地網絡中會對OPC請求作出響應的設備，以搜集工業控制設備的信息，然后將這些信息反饋到C&C服務器上。除此以外，它也包含從受感染系統收集數據的信息收獲工具，比如：

1.操作系統的相關信息

2.憑證獲取工具，用來竊取存儲在開發Web瀏覽器的密碼

3.使用自定義協議進行不同C&C服務器之間通信的組件，并在內存中執行三級有效載荷

"到目前為止，我們還未發現試圖控制所連接硬件的任何有效載荷。"F-Secure證實。

動機是什么?

對于這一點，雖然他們的動機目前還不清楚，"我們也確定攻擊者所使用的附件組件包含從受感染機器上收集數據的代碼，這些機器用在ICS或SCADA系統。這表明，攻擊者不僅僅對危及他們有興趣的公司網絡安全感興趣，而且也有意獲得那些機構ICS或SCADA系統的控制權。"F-Secure如是說。

Havex來自俄羅斯?

今年一月，網絡安全公司CrowdStrike披露了一項被稱為"Energetic Bear"的網絡間諜活動，在這項活動中黑客們可能試圖通過俄羅斯聯邦滲透歐洲、美國和亞洲能源公司的計算機網絡。據CrowStrke稱，那些網絡攻擊中所用的惡意軟件就是Havex RAT和SYSMain RAT，同時Havex RAT可能是SYSMain RAT的更新版，這兩個工具至少在2011年就被攻擊者使用過。

這就意味著，Havex RAT有可能以某種方式被俄羅斯黑客連接，或者由俄羅斯政府資助實施。

原文地址：http://thehackernews.com/2014/06/stuxnet-like-havex-malware-strikes.html