最近发布的有关Dragonfly恶意软件的分析指出,该恶意软件目标锁定在了包装消费品行业,特别是制药业,而非先前认为的能源行业。
Dragonfly是继Stuxnet之后又一强大的病毒,它的目标就是侵入特定的工业控制系统(ICS)部件。它包含一个工业协议扫描仪,可搜索TCP端口44848(欧姆龙和洛克韦尔自动化使用),102(西门子使用)和502(施耐德电气使用)上的设备。据工业通信专家Belden介绍,这些协议和产品在包装和制造应用尤其是消费性包装品行业,如制药业有更大的安装基础。
Belden委任领先的独立ICS安全专家JoelLangill对Dragonfly恶意软件进行更深入的调查。他专注于在反映真实环境下ICS配置的系统上运行恶意代码并观察恶意软件所产生的影响。
他发现在成千上万个可能的ICS供应商中,被恶意软件认定为目标的并不是能源行业中的提供商。相反,提供的三样产品和服务在包括制药业在内的消费性包装产品行业中最为常用。
Langill还报告说,Dragonfly恶意软件与另外一个叫EpicTurla的病毒颇为相像,很可能两者都是由同一团队操纵的。EpicTurla目标是制造业企业的知识产权。
“基于本人所做的调查和对制药业的了解,我得出了Dragonfly恶意软件的目标就是制药业的结论,”Langill说到,“其潜在危害包括专利配方和生产批次序列步骤,以及显示制造工厂容量和生产能力的网络和设备信息被盗取。”
TofinoSecurity公司的Belden网络安全业务首席技术官EricByres介绍说:“有关Dragonfly恶意软件的一个有趣现象就是,它锁定目标在ICS信息的目的不是为了引起故障,而是为了窃取知识产权--很可能是为其盗版所用。”首席技术官和其他高管要了解这一攻击并确保有可对付的技术和产品。
“安全性研究人员和黑客已识别出很多工业生产产品中所存在的漏洞,”他补充说到,“为了防止Dragonfly攻击,很重要的一点是制造企业要通过最新的最佳实践政策和工业专用安全技术来保护核心ICS的安全。现在,我们知道Stuxnet和Flame潜伏在其目标网络中已有数年--一旦发现这些类似病毒进行破坏或者窃取商业机密再进行保护措施,为时已晚。”
