F-Secure聲稱他們已收集和分析了Havex RAT的88個變種,并認為Havex及其變種多通過利用OPC標準 被用來從目標網(wǎng)絡(luò)和機器獲取權(quán)限并搜集大量數(shù)據(jù)。具體表現(xiàn)為:該類惡意軟件會通過掃描本地網(wǎng)絡(luò)中那些會對OPC請求做出響應(yīng)的設(shè)備,來收集工業(yè)控制設(shè)備的操作系統(tǒng)信息、竊取存儲在開發(fā)Web瀏覽器的密碼、使用自定義協(xié)議實現(xiàn)不同C&C服務(wù)器之間的通信,然后把這些信息反饋到C&C服務(wù)器上(Havex的攻擊原理如下圖所示)。
同時FireEye公司的研究人員最近也聲稱發(fā)現(xiàn)了一個Havex的新變種,同樣認為發(fā)現(xiàn)的Havex變種具備OPC服務(wù)器的掃描功能,并可以搜集有關(guān)聯(lián)網(wǎng)工控設(shè)備的信息,以發(fā)回到C&C服務(wù)器供攻擊者分析使用。這表明,雖然Havex及其變種最可能是被用作收集工控系統(tǒng)情報的工具,但攻擊者應(yīng)該不僅僅是對這些目標公司的系統(tǒng)信息感興趣,而必然會對獲取那些目標公司所屬的ICS或SCADA系統(tǒng)的控制權(quán)更感興趣。
最近多家安全公司的研究發(fā)現(xiàn)它多被用于從事工業(yè)間諜活動,其主要攻擊對象是歐洲的許多使用和開發(fā)工業(yè)應(yīng)用程序和機械設(shè)備的公司。