В отчете за 2013 год компания CrowdStrike рассказала о новых угрозах информационной безопасности, появившихся за год, среди которых был упомянут новый троян Havex RAT (remote access trojan).
Havex RAT считается новой версией уже известного, но до сих пор детально не изученного трояна SYSMain RAT. По результатам исследований CrowdStrike к октябрю 2013 года существовало более 25 версий Havex. В каждой версии троян устанавливал себя в зараженной системе в виде dll-файла с названием, начинающимся с TMPprovider (так для 15 версии трояна файл назывался TMPprovider015.dll). Сетевая активность трояна не отличалась какой-либо оригинальностью: POST-запросы к скомпрометированным веб-сайтам, получение команд от бот-мастера в зашифрованном виде. Основными объектами атак трояна являлись различные компании США, связанные с энергетическим сектором.
Из-за того, что любая активность (обновление версий, команды ботам и т.д.) проявлялась в рабочие часы по московскому времени, авторы отчета предположили, что контроль за трояном осуществляется с территории Российской Федерации. На основании этой информации 23 января 2014 года Департамент Безопасности США выпустил документ, в котором упоминались шпионские действия РФ по отношению к США с использованием новых троянов Havex RAT и SYSMain RAT.
После продолжительной работы над изучением поведения трояна Havex, 23 июня 2014 компания F-Secure выпустила небольшой отчет, в котором рассказывается о технических деталях работы трояна. Оказалось, что одной из целей Havex является сбор информации об АСУ ТП. В первую очередь троян распространялся через зараженные дистрибутивы различных компонентов АСУ ТП, а также через спам и с использованием связок эксплойтов.
Отличительной особенностью трояна является то, что среди стандартных команд по управлению зараженной системой выделяются команды, отвечающие за сбор данных, характерных именно для АСУ ТП.
Детальный анализ кода показал, что в троян встроена функция «сниффера АСУ ТП». Сниффер использовался как средство для учета сегментов сети и обнаружения подключения новых серверов и других сетевых ресурсов.
Рисунок 1 - Обратный анализ кода и обнаружение новых сегментов сети
Последующий анализ показал, что следующим этапом поведения трояна оказалось использование объектов CoInitializeEx и CoCreateInstanceEx для подключения к интерфейсам IID_IOPCServerList2 и CLSID_OPCServerList. Авторы так же отметили, что и в других частях кода трояна встречается работа с OPC-серверами.
Рисунок 2 - Поиск OPC-серверов
Троян собирает информацию об OPC-серверах и подключенных устройствах к ним и посылает эту информацию на сервер управления. Попыток перехвата контроля технологического процесса со стороны трояна исследователями зафиксировано пока не было.
Таким образом, по результатам анализа особенностей Havex можно сделать вывод о закреплении тенденции развития вредоносного ПО в направлении промышленного шпионажа за автоматизированными системами управления на критически важных объектах.