Industroyer / CrashOverride
Industroyer / CrashOverride 是什么?
Industroyer / CrashOverride模块化的 ICS 恶意软件,用于 2016 年乌克兰电网攻击,并于 2022 年以 Industroyer2 升级出现,可直接使用电网原生协议跳闸变电站。
Industroyer (又名 CrashOverride) 是一种模块化的 ICS 恶意软件框架,于 2016 年 12 月首次在乌克兰基辅一座输电变电站被使用,造成大约一小时的停电。与早期电网攻击不同,Industroyer 直接实现了 IEC 60870-5-101、IEC 60870-5-104、IEC 61850 与 OPC DA 等协议,并集成一个针对西门子 SIPROTEC 的拒绝服务模块,可向 RTU、IED 与保护继电器发送原生命令。ESET、Dragos 以及多个西方政府将 Industroyer 归因于俄罗斯 GRU 的 Sandworm 组织。其后续版本 Industroyer2 于 2022 年 4 月在一次针对乌克兰电力企业的攻击中被发现。该框架证明对手能够构建可重复使用且协议感知的 ICS 工具。
● 示例
- 01
向乌克兰变电站发送 IEC 60870-5-104 控制指令以打开断路器。
- 02
在攻击中使用 SIPROTEC DoS 模块崩溃保护继电器。
● 常见问题
Industroyer / CrashOverride 是什么?
模块化的 ICS 恶意软件,用于 2016 年乌克兰电网攻击,并于 2022 年以 Industroyer2 升级出现,可直接使用电网原生协议跳闸变电站。 它属于网络安全的 OT / ICS / 物联网 分类。
Industroyer / CrashOverride 是什么意思?
模块化的 ICS 恶意软件,用于 2016 年乌克兰电网攻击,并于 2022 年以 Industroyer2 升级出现,可直接使用电网原生协议跳闸变电站。
Industroyer / CrashOverride 是如何工作的?
Industroyer (又名 CrashOverride) 是一种模块化的 ICS 恶意软件框架,于 2016 年 12 月首次在乌克兰基辅一座输电变电站被使用,造成大约一小时的停电。与早期电网攻击不同,Industroyer 直接实现了 IEC 60870-5-101、IEC 60870-5-104、IEC 61850 与 OPC DA 等协议,并集成一个针对西门子 SIPROTEC 的拒绝服务模块,可向 RTU、IED 与保护继电器发送原生命令。ESET、Dragos 以及多个西方政府将 Industroyer 归因于俄罗斯 GRU 的 Sandworm 组织。其后续版本 Industroyer2 于 2022 年 4 月在一次针对乌克兰电力企业的攻击中被发现。该框架证明对手能够构建可重复使用且协议感知的 ICS 工具。
如何防御 Industroyer / CrashOverride?
针对 Industroyer / CrashOverride 的防御通常结合技术控制与运营实践,详见上方完整定义。
Industroyer / CrashOverride 还有哪些其他名称?
常见的别称包括: CrashOverride, Industroyer2。
● 相关术语
- ot-iot№ 529
工业控制系统 (ICS)
用于自动化和监控工业过程的系统统称,包括 SCADA、DCS、PLC、RTU 和安全控制器。
- ot-iot№ 972
SCADA
数据采集与监控系统,从远程现场设备收集遥测数据,使运营人员能够监视并操作大型工业过程。
- ot-iot№ 334
DNP3
Distributed Network Protocol 3,事件驱动的 ICS 协议,广泛用于电力、水务、油气行业的 SCADA 主站与远程站点之间通信。
- ot-iot№ 1111
Stuxnet
2010 年披露的高复杂度蠕虫,通过重编程西门子 PLC 破坏伊朗铀浓缩离心机,普遍被归因于美国与以色列。
- ot-iot№ 1174
TRITON / TRISIS
2017 年发现的恶意软件,针对沙特一座石化工厂的施耐德 Triconex 安全仪表系统,被归因于与俄罗斯有关联的攻击者。
- ot-iot№ 762
运营技术 (OT)
用于监控和控制物理过程、设备和基础设施(如工厂、发电厂和公用事业)的硬件与软件。
● 参见
- № 966Sandworm Team(沙虫小组)