FireEye обнаружила новый вариант Havex, сканирующий OPC-серверы

Представители компании FireEye обнаружили новый вариант трояна Havex, который сканирует OPC-серверы, используемые для контроля SCADA-систем. Обнаруженная вредоносная программа способна похищать системную информацию и хранящиеся на скомпрометированном сервере данные. Свою вредоносную деятельность вирус осуществляет посредством OPC- стандарта.

«На протяжении года злоумышленники используют Havex в атаках на компании, задействованные в энергетической отрасли. Однако окончательное количество пострадавших от вируса ICS-систем неизвестно», -  говорится  в блоге компании FireEye.

Для того чтобы понять принцип работы вируса исследователи решили провести тестирование компонента Havex, который сканирует OPC. С этой целью эксперты создали типичную среду OPC-сервера. Отметим, что ICS- или SCADA-системы включают в себя OPC-клиент, который напрямую взаимодействует с OPC-сервером. Последний, в свою очередь, работает в тандеме с PLC для того, чтобы контролировать работу оборудования SCADA.

Когда вирус Havex попадает в сеть, его загрузчик использует процесс runDll и затем начинает сканировать OPC-серверы, задействованные в SCADA-системе.

Для того чтобы определить потенциальный OPC-сервер, вирус использует WNet-функции, к примеру, WNetOpenEnum и WNetEnumResources.

«Сканер Havex составляет список серверов, доступных по всему миру через Windows networking. Впоследствии, составленный список проверяется на наличие COM-интерфейса», - отмечают в FireEye.

Сканируя OPC-серверы, Havex способен похищать любые данные о подключенных к ним устройствах и отправлять инфорамцию на C&C-сервер, подконтрольный злоумышленникам.

По словам специалистов FireEye, обнаруженный вариант Havex – первая вредоносная программа, способная сканировать OPC-серверы.