“Kapeka”和“Fuxnet”：俄乌对攻使用的 ICS 恶意软件

“Kapeka”和“Fuxnet”是俄乌两国之间长期冲突中出现的针对欧洲工业控制系统 (ICS) 和操作技术 (OT) 环境的两种最新恶意软件示例。

“ Kapeka ”的工具似乎与 Sandworm 有关，Sandworm 是一个多产的俄罗斯国家支持的威胁组织，谷歌的 Mandiant 安全小组本周将其描述为该国在乌克兰的主要网络攻击单位。芬兰 WithSecure 的安全研究人员发现了 2023 年针对爱沙尼亚物流公司和东欧其他目标的攻击中的后门，并将其视为一种活跃且持续的威胁。

“Fuxnet” ——是乌克兰政府支持的威胁组织 Blackjack 可能在最近对 Moskollector 进行的破坏性攻击中使用的工具。Moskollector 是一家维护着用于监控莫斯科污水系统的大型传感器网络的公司。攻击者使用 Fuxnet 成功破坏了 Moskollector 网络上他们声称的总共 1,700 个传感器网关，并在此过程中禁用了连接到这些网关的约 87,000 个传感器。

ICS 安全公司 Claroty 的漏洞研究总监 Sharon Brizinov 表示：“Fuxnet ICS 恶意软件的主要功能是破坏和阻止对传感器网关的访问，并试图破坏物理传感器。”该公司最近调查了 Blackjack 的攻击。 Brizinov 表示，此次攻击的结果是，Moskollector 可能必须亲自接触数千台受影响的设备，并逐一更换它们。 “为了恢复 [Moskollector] 监控和操作莫斯科周围污水系统的能力，他们需要采购并重置整个系统。”

Kapeka 和 Fuxnet 是俄罗斯和乌克兰冲突造成的更广泛网络影响的例子。自 2022 年 2 月两国之间的战争爆发以来，甚至早在这之前，双方的黑客组织就开发并使用了一系列恶意软件工具来攻击对方。许多工具，包括擦除器和勒索软件，本质上都具有破坏性或破坏性，主要针对两国的关键基础设施、ICS 和 OT 环境。

但在某些情况下，涉及两国之间长期冲突引发的工具的攻击影响了更广泛的受害者。最值得注意的例子仍然是 NotPetya，这是 Sandworm 组织最初开发用于乌克兰的恶意软件工具，但最终在 2017 年影响了全球数以万计的系统。2023 年，英国国家网络安全中心(NCSC) 和美国美国国家安全局(NSA) 警告称，名为“Inknown Chisel”的 Sandworm 恶意软件工具集对各地 Android 用户构成威胁。

Kapeka：GreyEnergy 的沙虫替代品？

据 WithSecure 称，Kapeka 是一种新颖的后门，攻击者可以将其用作早期工具包，并在受害者系统上实现长期持久性。该恶意软件包含一个释放器组件，用于将后门释放到目标计算机上，然后自行删除。 WithSecure 的研究员 Mohammad Kazem Hassan Nejad 表示：“Kapeka 支持所有基本功能，使其能够通过网络后门进入并运行。”

其功能包括从磁盘读取文件和向磁盘写入文件、执行 shell 命令以及启动恶意负载和进程（包括本地二进制文件）。 “获得初始访问权限后，Kapeka 的操作员可以利用后门在受害者的计算机上执行各种任务，例如发现、部署其他恶意软件以及发起下一阶段的攻击，”Nejad 说。

据 Nejad 称，WithSecure 能够找到证据，表明与 Sandworm 和该组织在 2018 年攻击乌克兰电网时使用的GreyEnergy 恶意软件有关。“我们相信 Kapeka 可能是 Sandworm 武器库中 GreyEnergy 的替代品，”Nejad 指出。尽管这两个恶意软件样本并非源自相同的源代码，但 Kapeka 和 GreyEnergy 之间存在一些概念重叠，就像 GreyEnergy 及其前身BlackEnergy之间存在一些重叠一样。 Nejad 表示：“这表明 Sandworm 可能会随着时间的推移使用新工具升级其武器库，以适应不断变化的威胁形势。”

Fuxnet：破坏和破坏的工具

与此同时，Clarity 的 Brizinov 将 Fuxnet 识别为 ICS 恶意软件，旨在对特定的俄罗斯制造传感器设备造成损害。该恶意软件旨在部署在网关上，用于监控和收集物理传感器的数据，用于火灾警报、气体监控、照明和类似用例。

Brizinov 表示：“恶意软件一旦部署，就会通过覆盖 NAND 芯片并禁用外部远程访问功能来堵塞网关，从而阻止操作员远程控制设备。”

然后，一个单独的模块尝试用无用的 M-Bus 流量淹没物理传感器本身。 M-Bus 是一种欧洲通信协议，用于远程读取燃气表、水表、电表和其他仪表。 Brizinov 表示：“Blackjack 的 Fuxnet ICS 恶意软件的主要目的之一是在获得传感器网关的访问权限后攻击并摧毁物理传感器本身。”为此，Blackjack 选择通过向传感器发送无限数量的 M-Bus 数据包来模糊传感器。 “从本质上讲，BlackJack 希望通过无休止地向传感器发送随机 M-Bus 数据包，这些数据包将使传感器不堪重负，并可能触发漏洞，从而损坏传感器并将其置于无法操作的状态，”他说。

组织从此类攻击中得到的主要收获是要注意安全基础知识。例如，Blackjack 似乎通过滥用设备上的弱凭据获得了对目标传感器网关的 root 访问权限。他说，这次攻击凸显了为什么“维护良好的密码策略非常重要，确保设备不会共享相同的凭据或使用默认凭据”。 “部署良好的网络清理和分段也很重要，确保攻击者无法在网络内部横向移动，并将其恶意软件部署到所有边缘设备。”