十大黑客兵器很恐怖：没水没电，下一步总统下台

黑客冲击能发生多大的损坏结果？
[好文分享：www.ii77.com]

委内瑞拉的国民能够现身说法。两个月前，委内瑞拉全国发生大规模停电事件，影响 23 个州中的 18 个州，传言这事是美国动员了黑客冲击，固然美国没认，然则人家的国务卿跟自家总统一个做派，大喇喇地发了条推文印证了这个说法：“No food. No medicine. Now, no power. Next, no Maduro.（没吃没药没电，下一步，没总统。）” [转载出处：www.ii77.com]

委内瑞拉别哭，前面乌克兰的兄弟也被“袭击”过两次，传闻是俄罗斯干的。

还有好多奇新鲜怪的大规模工业袭击都是黑客干的，好比澳大利亚马卢奇污水处理厂曾被不法入侵，无线保持旌旗丢失、污水泵工作非常、报警器也没有报警。

这个事情有多严重？

前工程师 Vitek Boden 因不满工作续约被拒而蓄意报复，经由一台手提电脑和一个无线发射器掌握150个污水泵站长达三个多月，在此时代，共计有 100 万公升的污水未经处理直接经雨水渠排入天然水系，导致本地情况受到严重损坏。

2016年，又有黑客行使美国宾夕法尼亚州哈里斯堡市一家自来水厂员工的小我电脑入侵了该厂负责水过滤的电脑系统，并在水过滤电脑上安装奸细软件，行使受传染主机向外发送电子邮件和盗版软件，与此同时，黑客还点窜了该电脑的登录暗码，致使水厂治理员也不克够进入把持系统。

不是水，就是电，还有工场什么的，都是要害的工业根蒂举措，这比破解个摄像头暗码，分分钟来场弗成描述的直播更恐怖（当然，这也很恐怖）。

黑客们究竟用了什么厉害的兵器搞这些冲击？我们来清点一下：

1.Stuxnet：工控收集冲击的里程碑 

Stuxnet（又称作超等工场、震网，双子），是 Windows ..上的恶意代码，于 2010 年 6 月被白俄罗斯的一家平安公司（VirusBlokAda）发现。因为恶意代码中包含“stux”字符，所以被定名为“震网病毒（Stuxnet）”。Stuxnet行使西门子公司掌握系统（SIMATIC WinCC/Step7）存在的破绽传染数据采集与监控系统（SCADA），向可编程逻辑掌握器（PLC）写入代码并将代码隐藏。因其代码及其复杂冲击手法极其隐蔽，也被称为有史以来最复杂的收集兵器，同时它也是全球首个在工控范畴投入实战并取获胜利的收集兵器。

该病毒 60% 的传染发生在伊朗。2012 年 6 月 1 日，美国《..》的一篇报道也证实了这一研究究竟。报道内容大略如下：Stuxnet病毒发源于 2006 年前后，由美国总统小布什启动的“奥运管帐划”，是美国国度平安局交际事务局（FAD）在以色列协助下研发，旨在减缓伊朗的核规划，从而避免接纳高风险的空袭。2008年，奥巴立时任后命令加快该规划。

据估量，“震网”病毒使伊朗的核规划延迟了至少2年。事后发现，在 2011 年以色各国防军第19任总参谋长加比•阿什克纳齐的退役晚宴中的一段视频显露，Stuxnet 被以色各国防军看成一次胜利。

2013 年 5 月，Edward Snowden 在接管采访中透露：美国国度平安局（NSA）和以色列联手斥地了损坏伊朗铀浓缩设备的 Stuxnet。在2009年至2010年，Stuxnet渗入伊朗核举措收集，用于改变数千台离心计动员机的运转速度。这种倏忽的改变动员机转速会对离心计造成无法修复的危险，从而达到损坏伊朗核研究的目的。

2013 年 6 月，美国司法部因 Stuxnet 泄密事件起头查询美国计谋司令部前负责人詹姆斯卡特赖特（James Cartwright）将军。联邦查询人员猜忌卡特赖特向“..”记者泄露了该动作的细节，詹姆斯卡特赖特当即否认这一指控，然则，在 2016 年 10 月 17 日，卡特赖特在美国哥伦比亚特区处所法院认罪。2017 年 1 月 17 日，巴拉克•奥巴马（Barack Obama）总统赦宥了他，从而使他无罪。

凭据..关于 Stuxnet 的报道，连系在任时间窗口和小我配景，其推想 ，Stuxnet 的实际的执行者有或者是前 CIA 将军迈克尔•海登（Michael Hayden）。直到今天也没有人正式认可或否认此次对伊朗的收集袭击这是谁干的，因为尽量是如今 Stuxnet 仍然具有冲击性，甚至有或者已经升级成为隐蔽性更好，损坏力更壮大的更高级的病毒。

2.Duqu-Stuxnet 之子

Duqu（毒区）在 2011 年 9 月 1 日，于布达佩斯手艺经济大学的暗码学与系统平安（CrySyS）实验室中被发现。因为它建立的暂时文件都是以 ~DQ开首，是以被定名为 Duqu。Duqu 与 Stuxnet 有必然的相似度，它们都使用了沟通的加密算法和密钥，此外，Duqu 也盗用了一家中国..公司（骅讯电子公司）的数字证书对恶意代码进行签名。

Duqu2.0 是在 2015 年卡巴斯基的一次平安检测中被发现的。卡巴斯基经由查询后发现，该恶意代码已经在其内部收集隐蔽长达数月，进一步研究发现，入侵卡巴斯基和入侵伊朗核问题“六方漫谈”承办酒店电脑的都是 Duqu2.0 。

Duqu 首要目的是刺探与伊朗核规划有关的谍报。Duqu2.0 被一些平安机构认定是以色列“8200军队”的产品，被用来看管伊朗核商洽和经济制裁，因为它传染位于瑞士和奥地利酒店的较量机，这些酒店就是伊核六方漫谈（“P5+1”组织成员国包罗美国、俄罗斯、中国、英国、法国和德国）的国际商洽所在。

Duqu 2.0除了入侵卡巴斯基和“六方漫谈”，还针对奥斯维辛-比克瑙集中营解放 70 周年的纪念运动动员了雷同冲击，它的冲击方针组织还包罗欧洲电信运营商，北非电信运营商和东南亚电子设备制造商等。

Duqu的冲击目的不是以损坏为主，而是隐蔽并收集被冲击者的各类谍报信息，为未来或者发生的收集战供应正确的谍报。

3.Flame

Flame（也被称作Flamer、Da Flame、sKyWiper、Skywiper）于 2012 年 5 月 28 日被卡巴斯基流露，由卡巴斯基在国际电信联盟（ITU）的一次查询中发现。Flame是一种模块化的、可扩展的、可更新的，具有普遍隐蔽性和极强冲击性的恶意代码。在收到掌握者发出的掌握指令后，Flame就可以经由USB移动存储介质以及收集进行复制和流传，而发出掌握指令的办事器来自世界各地。它会运用包罗键盘、屏幕、麦克风、移动存储设备、收集、WIFI、蓝牙、USB和系统历程在内的所有的或者前提去收集信息。Flame还会将用户浏览的网页、通信通话（Skype聊天记录）、账号暗码以至键盘输入等记录发送给长途操控病毒的办事器。此外，尽量与办事器的关联被割断，冲击者依然可经由蓝牙旌旗对被传染较量机进行近距离掌握。功能极其雄厚，笼盖了用户使用电脑的所有输入输出的接口。今朝被定性为“工控病毒”。

Flame 病毒起头首要集中冲击中东区域，包罗伊朗、以色列、巴勒斯坦、叙利亚、苏丹、黎巴嫩、沙特..和埃及等国度。据统计，世界局限内受传染电脑数量大约在 1000 至 5000 台之间。

2012年6月19日，..揭橥了一篇文章，声称 Flame 至少在5年前，由美国国度平安局、中央谍报局和以色列军方结合斥地，该项目据说是代号为奥运会的一部门，旨在缓伊朗成长核兵器的进度，为进行收集损坏运动收集谍报。

冲击伊朗的 Flame 病毒对 AutoCAD 文件、PDF 文件、TXT 文件以及 Microsoft Word 和另外 Office 花样分外存眷，它还对桌面上的内容稀奇感乐趣，似乎在有目的的收集被传染电脑中的手艺文档和图纸类谍报。

4.Havex

Havex于 2013 年被发现，是一种用于冲击特定方针的长途掌握木马（Remote Access Trojan，RAT）。2014岁首，Havex起头对工业掌握系统提议冲击，传染SCADA和工控系统中使用的工业掌握软件。收集平安公司CrowdStrike流露了一项被称为“Energetic Bear”（该黑客组织也被称作蜻蜓“Dragonfly”，是以Havex也被称作Dragonfly1.0）的收集奸细运动。据 CrowdStrike 称：冲击者试图经由俄罗斯联邦渗透欧洲、美国和亚洲的能源公司较量机收集，在此次冲击中所用的恶意软件就是Havex RAT。

冲击者经由把 ICS/SCADA 制造商的网站上用来供用户下载的相关软件传染木马，当用户下载这些软件并安装时，实现对方针用户的传染。

Havex 或者是以窃取工控数据谍报为目的，因为它行使 OPC 和谈看管受传染主机的数据通信。而OPC和谈首要是流程工业上用的对照多，例如石油石化行业，这也是为什么说Havex是针对工控行业的原因。

5.Dragonfly2.0

“Dragonfly”是有名的俄罗斯黑客组织，该黑客组织自 2010 年起头活跃，直到 2014 年被平安公司流露后，一度住手了冲击运动，然则在 2017 年 9 月，它又起头频仍运动，因为最新发现的“Dragonfly”从冲击目的和恶意代码手艺上都有所提拔，所以被称为“蜻蜓二代”或许“Dragonfly2.0”。今朝的证据表明，实际上蜻蜓二代在 2015 年 12 月份就已经有了运动迹象。蜻蜓二代“Dragonfly2.0”和一代一般，使用多种冲击体式（恶意电子邮件、水坑冲击和正当软件绑缚）对方针进行渗透并植入恶意代码。早期的Dragonfly运动更像是处于索求性的阶段，冲击者只是试图进入方针组织的收集，Dragonfly 2.0的运动则显露了冲击者已经进入了一个新的阶段，比来的袭击运动或者为冲击者供应了接见把持系统的机会，未来或者被用于更具损坏性的冲击。

 “Dragonfly”是一个专门以能源电力机构、ICS设备制造厂商、石油管道运营商等为冲击方针的黑客组织，早期冲击的方针为美国和加拿大的防务和航空公司、美国和欧洲的能源公司、大多数受害者分布在美国、西班牙、法国、意大利、德国、土耳其和波兰，而“Dragonfly2.0”则重点冲击美国和土耳其。

6.BlackEnergy

BlackEnergy 是有名的黑客 Cr4sh 缔造的。在 2007 年，他声称不再斥地这款木马，而且以$ 700 摆布卖出源代码（畅通在俄罗斯的地下收集）。最初，它被设计为一个 DDos 冲击对象，首要用于竖立僵尸收集，对定向的方针实施 DDos 冲击，源码卖出后，新的斥地者为其斥地了各类功能的插件，以知足各类冲击需求。BlackEnergy 被分歧黑客用于各自的用途，有的黑客用它发送垃圾邮件，有的黑客用来窃取银行凭证，然则，在 2008 年“俄格辩说”时代，该对象被用来对格鲁吉亚实施收集冲击，自此 BlackEnergy起头转向冲击政治方针。在 2014 年夏日， BlackEnergy 频仍对乌克兰当局及企事业单元单子提议冲击，经由剖析发现它有一款支撑对 ICS 监测掌握和数据采集类的插件。这显露出 BlackEnergy 还存在的一些稀奇的能力，不光仅局限于 DDOS 冲击。

其冲击方针为乌克兰的ICS，能源，当局和媒体以及全球的ICS/SCADA公司和能源公司。

2015 年 11 月 22 日凌晨，克里米亚遭乌克兰断电，近 200 万人受影响。2015 年 12 月 23 日，乌克兰电力收集受到黑客冲击，导致伊万诺-弗兰科夫斯克州 22.5 万公众失去电力供给长达 6 小时。

7.Industroyer

2017 年 6 月 12 日，一款针对电力变电站系统进行恶意冲击的工控收集冲击兵器 Industroyer 被ESET流露。经由剖析，我们发现该冲击兵器能够直接掌握断路器，可导致变电站断电。 Industroyer 恶意软件今朝支撑四种工控和谈：IEC 60870-5-101、IEC 60870-5-104、IEC 61850以及OLE for Process Control Data Access（简称OPC DA）。这些和谈普遍应用在电力调剂、发电掌握系统以及需要对电力进行掌握行业，例如轨道交通、石油石化等主要根蒂举措行业，尤其是 OPC 和谈作为工控系统互通的通用接口更普遍应用在各工控行业。能够看出，冲击者对于工控系统尤其是电力系统相关的工控和谈有着深挚的常识配景，而且具有方针工控情况下的各类工控设备，冲击者需要这些设备来实现恶意代码的编写和测试工作。

与 2015 年袭击乌克兰电网最终导致2015年12月23日断电的冲击者使用的对象集（BlackEnergy、KillDisk、以及其他冲击模块）比拟，这款恶意软件的功能意义重大，它能够直接掌握开关和断路器，Industroyer 死后的黑客团队无论从手艺角度照样从对方针工控系统的研究深度都远远跨越了2015年12月乌克兰电网冲击背后的黑客团队。

经由对该批恶意软件的编译时间推想该恶意软件曾被行使来冲击乌克兰的变电站导致2016年12月那次半个小时的乌克兰停电事件。今朝能够说 Industroyer 恶意软件是继 STUXNET、BLACKENERGY 2以及 HAVEX 之后第四款对针对工业掌握系统进行冲击的工控兵器。

其冲击方针为乌克兰的ICS，能源，当局和媒体以及全球的 ICS/SCAD A公司和能源公司。

据推想，2016 年 12 月那次半个小时的乌克兰停电事件是由 Industroyer 冲击导致。

8.GreyEnergy

2018 年 10 月 18 日，ESET 研究团队称发现一个新的 APT 组织 GreyEnergy，且该 APT 组织是 BlackEnergy 的继续者，因 BlackEnergy 在 2015 年激发乌克兰大停电而名声大噪，此后便鸣金收兵，而GreyEnergy的运动记录也同时显现，此外，2015年同期还显现了另一个组织TeleBots（或者是2017年谋划大规模NotPetya病毒的爆发的幕后黑手）。除了两者几乎同时显现之外， GreyEnergy在2016年使用的一种损坏性恶意软件Moonraker Petya。顾名思义，它与NotPetya雷同，固然不太进步，然则这表明GreyEnergy和TeleBots之间的合作，或许至少是思惟和代码的交流。

ESET研究团队认为BlackEnergy演变为两个自力的组织：TeleBots 和 GreyEnergy。

GreyEnergy 首要针对乌克兰和波兰的能源部门、交通部门等高价格方针，冲击行为首要是收集侦查（即奸细行为）。GreyEnergy 与 BlackEnergy 具有好多相似之处，它也是采用模块化构造，今朝已经发现的模块有：注入模块、获取系统信息模块、文件治理模块、屏幕截图模块、键盘记录模块、暗码和凭证窃取模块、代理模块、ssh地道模块等，然则至今仍未发现专门针对 ICS 的恶意软件模块。

据今朝所获谍报，此次冲击首要对乌克兰和波兰的能源部门及交通部门进行渗透冲击，以期获取相关数据和谍报。

或者导致乌克兰和波兰的能源相关主要部门的信息泄露，内部敏感信息、相关手艺资料内部收集架构等主要信息被窃取。

9.VPNFilter

VPNFilter 恶意代码是由思科 Talos 团队首次公开，因其风险极其严重，Talos并未完成悉数剖析。VPNFilter恶意代码旨在入侵物联网设备（路由器、收集存储设备等）从事或者由国度提议的全球性的高级恶意软件冲击。截止 2018 年 5 月 23 日，至少有 54 个国度遭入侵，已传染约 50 万台路由器。因为其焦点模块文件为 VPNFilter，故该恶意代码也被定名为“VPNFilter”。FBI称此次冲击与俄罗斯当局支撑的黑客组织Fancy Bear有关。Fancy Bear又称作奇幻熊、APT28、Sofacy Group、Pawn Storm、Sednit。

自 2007 年以来，Fancy Bear一向在进行收集奸细运动，入侵过北约、奥巴马白宫、法国电视台、世界反兴奋剂机构和无数非当局组织以及欧洲、中亚和高加索区域的军事和民间机构，是一个污名昭著的黑客组织。

在 2018 年 5 月 8 日显现大规模的以乌克兰为首要方针的冲击运动，而且在 5 月 17 日乌克兰的受传染设备显现大幅度增加，这些受传染设备均受控于C&C 46.151.209.33, 看起来此次冲击方针似乎对准乌克兰。

乌克兰电力系统曾经受到过两次黑客冲击，而且导致了停电事变。

10.Triton

2017 年 11 月中旬，Dragos Inc.团队发现了针对 ICS 量身定做的恶意软件，并将此恶意软件定名为TRISIS（又被称为 Triton 和 HatMan），同年 12 月， FireEye 发布了 Triton 的剖析申报。Triton 是首款针对平安仪表系统进行冲击的恶意软件，Triton 恶意软件旨在针对施耐德电气的工业情况中使用的 Triconex平安仪表系统（SIS）掌握器，共采用 5 种分歧斥地说话构建，仅能在其对准的工业设备上执行。TRIRON恶意代码可对 SIS 系统逻辑进行重编纂，使 SIS 系统发生不测动作，对正常生产运动造成影响；能使SIS系统失效，在发生平安隐患或平安风险时无法实时实行和启动平安珍爱机制，从而对生产运动造成影响；还能够对DCS系统实施冲击，并经由SIS系统与DCS系统的结合感化，对工业设备、生产运动以及人员健康造成损坏。

2018 年 5 月 4 日，Dragos 公司称 Triton 背后的黑客组织 Xenotime 已经扩大了冲击局限，除了冲击施耐德电气的 Triconex 以外还针对另外的系统。

Xenotime 黑客组织或者自 2014 年起头活跃，于 2017 年成功冲击中东一家石油自然气工场，致其工场停运。工业收集平安和威胁谍报公司 CyberX 的研究人员曾认为，Triton的幕后黑手是伊朗，但Dragos并未供应任何有可以证实此猜测的证据信息。Dragos 公司指出，尚未发现 Xenotime 与另外已知黑客组织存在关系的线索。

2018 年 10 月 23 日，FireEye 称他们发现了 Triton 恶意软件与位于莫斯科的俄罗斯当局研究机构中央化学与机械科学研究所(CNIIHM)之间的关联：样本中说话西里尔文和时区与俄罗斯相关；经由剖析测试文件PDB路径的字符串，发现一段特别字符串或者是俄罗斯信息平安社区活跃用户（从2011年起头活跃）的昵称，连系被烧毁的社交媒体资料，推想出这小我是CNIIHM的传授，该传授位于莫斯科 Nagatino-Sadovniki 区的 Nagatinskaya 街四周；该研究所..的一个IP地址（87.245.143.140）介入了Triton冲击。此外，值得一提的是CNIIHM具备斥地Triton恶意软件的能力，它拥有专门研究要害根蒂举措珍爱和兵器及军事装备斥地的研究部门，并与普遍的其他组织合作，包罗较量机科学，电气工程，国防系统和信息手艺。

它的冲击至少针对一个中东区域的组织。其他使用施耐德电气的Triconex平安仪表系统（SIS）掌握器的能源单元单子也面临被冲击的风险，据不完全统计，该型号的掌握器被全球 1.8 万家工场使用，个中包含核相关举措。

2017年其成功冲击中东一家石油自然气工场，导致这家工场住手运营。

注：上述资料由启明星辰 ADLab 整顿剖析，宅客频道编纂，具体冲击道理及完整申报能够查阅《启明星辰ADLab：工控十大收集冲击兵器剖析申报》。

-----雇用好基友的朋分线-----

雇用岗位：

收集平安编纂（采编岗）

工作内容：

首要负责报道国表里收集平安相关热点新闻、会议、论坛、公司动向等；

采访国表里收集平安研究人员，撰写原创报道，输出范畴的深度概念；

针对分歧发布渠道，谋划分歧类型选题；

介入打理宅客频道微信公家号等。

岗位要求：

对收集平安有乐趣，有相关常识贮备或从业履历更佳；

科技媒体1-2年从业经验；

有自力采编和撰写原创报道的能力；

加分项：网感好，擅长新媒体写作、90后、英语好、自带段子手属性……

你将获得的是：

与国表里收集平安范畴顶尖平安大牛聊人生的机会；

国内出差或者不新颖了，我们还能够硅谷轮岗、国外出差（+顺便玩耍）；

你将体验各类前沿黑科技，把握一手行业新闻、巨细公司动向，甚至是黑客大大们的独家底蕴；

老司机编纂手把手带；

以及与你的能力相成家的薪水。

坐标北京，简历送达至：liqin@leiphone.com

戳蓝字查察更多出色内容 索求篇 ▼   暗网【上】|  暗网【下】 薅羊毛 | 黑客兵器库| 威胁猎人 剁手.. | 0Day冲击 | 暗黑女主播 踩雷 |嗑药坐牢重归正路 | 内鬼 脑内植入 实情篇 ▼ 拼多多将追回“薅羊毛”订单，包罗已充话费和Q币订单 75条笑死人的知乎神复原，用60行代码就爬完了 不剁手也吃土？或者是挖矿木马掏空你的钱包 游戏黑产：我还在空中跳伞，就被人用拳头长途打死 都8012年了，英国卫生部门居然还在为“擦屁股” 与病毒名称相似，“捏脸”游戏ZEPETO涉嫌窃听？ 扎心！Tumblr推AI鉴黄规划夺老司机“珍爱” 我报了个税，隐私就被扒光了？ 黑客圈套：Ins网红落难记 人物篇 ▼ 专访：“蹲坑神器”与它背后汉子们不得不说的故事 磨刀人王伟：我前期砸了两个亿做这套方案 白帽汇的赵武摘掉了他的“帽子”｜专访 数字联盟刘晶晶：四年只做一个产物 长亭科技陈宇森：我打破的四个质疑 薛锋：我眼中的威胁谍报三年之变 “无锁不开”女黑客——skye 知道创宇赵伟：怼死“空气币” 李均：我眼中的黑客精神 风宁：自由追风者 更多出色正在整顿中……

---

“喜欢就赶紧存眷我们”

宅客『Letshome』

雷锋网旗下业界报道公家号。

专注前锋科技范畴，讲述黑客背后的故事。

长按下图..并识别存眷