¿Qué malware está diseñado específicamente para atacar los sistemas ISC?

Análisis de malware

¿Qué malware está diseñado específicamente para atacar los sistemas ISC?

junio por Admin

Introducción: el malware ICS, una rareza en el panorama de amenazas

A finales de mayo, los expertos en seguridad descubrieron una vulnerabilidad de ejecución remota de código de siete años de antigüedad que afectaba a todas las versiones del software Samba desde la 3.5.0. Los mantenedores del proyecto han solucionado rápidamente el fallo. La vulnerabilidad, identificada como CVE–7494, puede ser aprovechada por un atacante para cargar una biblioteca compartida en un recurso compartido con capacidad de escritura y luego hacer que el servidor la cargue y la ejecute.

Después del descubrimiento del malware Stuxnet , la industria de las empresas de ciberseguridad comenzó a mirar el malware ICS con creciente interés. Esta familia específica de malware puede atacar sistemas de control industrial causando graves daños y poniendo en peligro vidas humanas.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Ben Miller, director del Centro de operaciones de amenazas de Dragos, llevó a cabo una interesante investigación, denominada MIMICS, basada en conjuntos de datos completamente públicos relacionados con incidentes relacionados con ICS durante los últimos 13 años.

“En este proyecto, el equipo de Dragos, Inc. analizó fuentes de datos públicas como VirusTotal para identificar malware y (en muchos casos) archivos ICS legítimos que se cargan para fomentar una discusión más matizada sobre la seguridad en el ICS moderno”.explica el director ejecutivo de Dragos, Robert M. Lee.

Miller descubrió aproximadamente 30.000 muestras de archivos e instaladores ICS infectados que datan de. Las amenazas más peligrosas son el malware que se propaga rápidamente, como Sivis, Ramnit y Virut .

A pesar de la gran cantidad de infecciones reportadas para sistemas ICS, descubrió solo tres piezas de malware adaptado a ICS exhibidas públicamente: Stuxnet , Havex y BlackEnergy2 . Ha habido rumores sobre otro par de malware adaptado a ICS explotado en campañas activas, algunos de ellos estudiados por investigadores de IronGate.

estuxnet

En, el presidente estadounidense George Bush lanzó un programa experimental de ciberataque contra Estados Unidos, en un esfuerzo conjunto con unidades cibernéticas israelíes, desarrolló el malware Stuxnet para comprometer los sistemas de control en la instalación de enriquecimiento iraní de Natanz.

En, The New York Times publicó un artículo detallado sobre una prueba israelí de un gusano diseñado específicamente para interferir y retrasar el programa nuclear iraní.

Los expertos israelíes construyeron una réplica de la instalación de Natanz en su Centro de Investigación Nuclear del Negev en Dimona, la misma planta a la que The Sunday Times se refirió en 1986 como una planta estratégica para la inteligencia israelí.

1 – Pruebas de Israel

Los investigadores probaron Stuxnet en la planta antes de usarlo contra el objetivo en Irán. El artículo publicado por el NY Times informó sobre una intensa colaboración entre investigadores del Laboratorio Nacional de Idaho en Idaho Falls y expertos de Siemens.

Dentro del Laboratorio Nacional de Idaho, expertos estadounidenses probaron los sistemas PLC de Siemens para descubrir vulnerabilidades de seguridad que podrían explotarse en el ataque Stuxnet. Siemens solo confirmó que su apoyo era un esfuerzo rutinario para mejorar la resiliencia de sus soluciones contra los ciberataques.

“En los últimos dos años, según expertos militares y de inteligencia familiarizados con sus operaciones, Dimona ha asumido un papel nuevo, igualmente secreto, como campo de pruebas crítico en un esfuerzo conjunto estadounidense e israelí para socavar los esfuerzos de Irán por hacer una su propia bomba”, informó The New York Times.

Derechos de autor de la imagen Laboratorio Nacional de Idaho y Siemens.

“Detrás del alambre de púas de Dimona, dicen los expertos, Israel ha hecho girar centrifugadoras nucleares prácticamente idénticas a las de Irán en Natanz, donde los científicos iraníes están luchando por enriquecer uranio. Dicen que Dimona probó la eficacia del gusano informático Stuxnet, un programa destructivo que parece haber “Eliminó aproximadamente una quinta parte de las centrifugadoras nucleares de Irán y ayudó a retrasar, aunque no a destruir, la capacidad de Teherán de fabricar sus primeras armas nucleares”.

Stuxnet apuntó a una red de 984 convertidores, el mismo equipo industrial que los inspectores internacionales encontraron fuera de servicio cuando visitaron las instalaciones de enriquecimiento de Natanz a finales de.

“Los ciberataques contra el sistema de protección en cascada infectan controladores Siemens S7-417 con una configuración adecuada. El S7-417 es un controlador industrial de última generación para grandes tareas de automatización. En Natanz se utiliza para controlar válvulas y sensores de presión de hasta seis cascadas (o 984 centrífugas) que comparten estaciones comunes de alimentación, producto y colas”, afirma ” Un análisis técnico de lo que los creadores de Stuxnet intentaron lograr “, escrito por el experto Ralph Langner.

Stuxnet era un malware muy sofisticado, sus autores implementaron muchas características que permitían evadir la detección, por ejemplo, su código fuente estaba firmado digitalmente y el malware utiliza un ataque de intermediario para engañar a los operadores haciéndoles pensar que todo era normal. .

“Pero a medida que el Sr. Langner iba quitando las capas, encontró más: lo que él llama la “cabeza nuclear dual”. Una parte del programa está diseñada para permanecer inactiva durante largos períodos y luego acelerar las máquinas para que los rotores giratorios en Las centrífugas se tambalean y luego se destruyen. Otra parte, llamada “hombre en el medio” en el mundo de la informática, envía esas falsas señales de sensor para hacer creer al sistema que todo está funcionando sin problemas. Eso evita que se active un sistema de seguridad, que cerrar la planta antes de que pudiera autodestruirse”, escribió The New York Times.

Según el análisis realizado por Symantec, el primer prototipo de Stuxnet fue desarrollado en el año, y estaba diseñado para manipular válvulas de gas en una instalación nuclear y provocar una explosión, por lo que Stuxnet es considerado el primer ejemplo de arma cibernética en el mundo . la historia capaz de provocar la destrucción física de las infraestructuras críticas.

La primera versión de Stuxnet detectada por Symantec tenía el número de versión ‘0,5’ en su código; el análisis de la fecha de registro de los dominios utilizados en el ataque reveló que Stuxnet 0.5 podría haber sido utilizado ya en. Otra información interesante sobre esta versión de Stuxnet es que dejó de infectar ordenadores el 4 de julio de, pocos días antes de que se creara la versión 1.001.

Los investigadores de malware consideraron que Stuxnet 0.5 es menos agresivo que las versiones 1.x de Stuxnet y solo se propaga a través de proyectos infectados del Paso 7; no explota ninguna vulnerabilidad de Microsoft, a diferencia de las versiones 1.x.

En las siguientes tablas se informa la evolución del método de replicación de Stuxnet.

2 – Evolución de la replicación de Stuxnet (Informe Symantec)

A continuación se muestra la línea de tiempo asociada con Stuxnet:

3: Cronograma de Stuxnet (Informe de Symantec)

El uso de un arma cibernética contra estos objetivos potenciales presenta una serie de ventajas, desde la difícil atribución hasta el secreto de las operaciones.

“El análisis del código deja claro que Stuxnet no se trata de enviar un mensaje o probar un concepto”, escribió más tarde Langner. “Se trata de destruir sus objetivos con la máxima determinación y al estilo militar”.

Han pasado los años, pero el ataque Stuxnet es más relevante que nunca. Desde que los sistemas de la planta de Natanz fueron infectados por Stuxnet, ¡todo cambió!

tenerx

En junio de, los investigadores de malware de F-Secure descubrieron una campaña de ciberespionaje basada en el malware Havex dirigida a sistemas y proveedores ICS/SCADA.

El malware Havex se ha utilizado en varios ataques dirigidos en los meses anteriores; Los actores de amenazas lo utilizaron contra diferentes sectores industriales.

Havex es un troyano de acceso remoto (RAT) de propósito general que utiliza un servidor escrito en PHP.

“Este adversario utiliza dos implantes primarios: uno denominado HAVEX RAT por CrowdStrike y otro llamado SYSMain RAT. Estos implantes están estrechamente relacionados con varias superposiciones de TTP y reutilización de código claro, particularmente dentro de herramientas secundarias asociadas con HAVEX RAT. Es posible que HAVEX RAT es en sí misma una versión más nueva de SYSMain RAT, aunque ambas herramientas todavía están en uso simultáneamente y han sido operadas por los atacantes desde al menos. La investigación sobre este actor descubrió más de 25 versiones de HAVEX RAT, con tiempos de compilación elevados. hasta octubre de. Cada versión se instalará como DLL con un nombre que comienza con “TMPprovider”, como TMPprovider037.dll para la versión 37″, informó la publicación del blog de la compañía .

Los expertos de F-Secure fueron los primeros en observar el uso del malware Havex en ataques contra los Sistemas de Control Industrial (ICS), los delincuentes personalizaron el código malicioso para infectar software disponible para descargar desde los sitios web de los fabricantes de ICS/SCADA en un intento de comprometer máquinas donde está instalado el software.

Los atacantes llevaron a cabo ataques quirúrgicos de abrevadero que comprometieron los sitios web de los proveedores de ICS. Los proveedores de SCADA a los que se dirige la campaña Havex tienen su sede en Alemania, Suiza y Bélgica, dos de ellos son proveedores de software de gestión remota para sistemas ICS y el tercero desarrolla cámaras industriales de alta precisión y software relacionado.

“Nuestra investigación descubrió tres sitios de proveedores de software que fueron comprometidos de esta manera. Los instaladores de software disponibles en los sitios fueron troyanizados para incluir Havex RAT. Sospechamos que existen más casos similares, pero aún no se han identificado”, afirma F- Secure

El Havex RAT se distribuye al menos a través de los siguientes canales:

F-Secure también detectó muestras del malware Havex que incluían un componente de recolección de datos, circunstancia que sugiere que los actores detrás de la campaña también estaban interesados ​​en recopilar información sobre los sistemas ICS/SCADA en la infraestructura objetivo.

Los expertos en seguridad detectaron 88 instancias diferentes de Havex RAT utilizadas para infectar sistemas ICS de alojamiento de redes, F-Secure rastreó 146 servidores de comando y control (CC) y casi 1500 direcciones IP. La mayoría de ellos están ubicados en Europa; incluye instituciones educativas, productores de máquinas o aplicaciones industriales y empresas especializadas en ingeniería estructural.

Una vez infectado el sistema objetivo, el instalador del software troyanizado soltará y ejecutará el código malicioso que permite al atacante instalar una puerta trasera para obtener el control total de la PC.
Los expertos de F-Secure han descubierto una campaña de espionaje industrial basada en instaladores de software ICS/SCADA troyanizados; Los atacantes utilizaron el malware HAVEX para atacar sistemas de control en infraestructuras críticas. Los expertos notaron que los actores de amenazas detrás de los ataques no administraban los CC de manera profesional, lo que revela una falta de experiencia en las operaciones.

“La carga útil adicional utilizada para recopilar detalles sobre el hardware ICS/SCADA conectado a dispositivos infectados muestra que los atacantes tienen un interés directo en controlar dichos entornos. Este es un patrón que no se observa comúnmente hoy en día”.

Probablemente pronto se descubrirán muchos otros ataques similares; Dado que la infraestructura crítica es un objetivo privilegiado para los ciberdelincuentes y los piratas informáticos patrocinados por el Estado , es hora de considerar un nuevo enfoque para su ciberseguridad.

Unas semanas después de que los expertos en seguridad de F-Secure y Symantec anunciaran una oleada de campañas maliciosas basadas en el malware ” Havex ” contra infraestructuras críticas , los investigadores de FireEye detectaron una nueva variante del Havex RAT que implementa una función para escanear OPC (Object linking and incrustación para sistemas de Control de Procesos).

La última variante de Havex podría recopilar información y datos del sistema directamente desde máquinas específicas a través del estándar OPC. En escenarios industriales, los sistemas ICS o SCADA incluyen un componente de cliente OPC que intercambia datos con un servidor OPC, que se comunica con un PLC (controlador lógico programable) para controlar el hardware industrial.

“El OPC es un estándar de interfaz de software que permite que los programas de Windows se comuniquen con dispositivos de hardware industriales”, afirma el centro de datos OPC.

Los malos actores detrás de la nueva campaña de Havex implementaron una función de escaneo OPC para recopilar cualquier dato almacenado en las máquinas en las redes objetivo y detalles sobre los dispositivos conectados. Luego, la información recopilada se envía de regreso al servidor de comando y control.

4 – Havex RAT que implementa una función para escanear sistemas OPC (vinculación e incrustación de objetos para control de procesos).

El malware busca activamente servidores utilizados habitualmente para controlar los sistemas SCADA (Supervisory Control and Data Acquisition) en infraestructuras críticas.

“Los actores de amenazas han aprovechado Havex en ataques en todo el sector energético durante más de un año, pero se desconoce el alcance total de las industrias y sistemas ICS afectados por Havex. Decidimos examinar el componente de escaneo OPC de Havex más de cerca para comprender mejor lo que sucede. cuándo se ejecuta y las posibles implicaciones”, dice una publicación de blog de Kyle Wilhoit, investigadores de inteligencia de amenazas en FireEye.

Los investigadores de FireEye han preparado un laboratorio de pruebas para analizar el malware Havex mientras apuntan a un servidor OPC típico, notaron que una vez infectada la red objetivo, el descargador RAT invoca la función de exportación runDll y luego comienza a escanear los servidores OPC.

“El proceso de escaneo comienza cuando el descargador de Havex llama a la función de exportación runDll. El módulo del escáner OPC identifica servidores OPC potenciales mediante el uso de las funciones de red de Windows (WNet). A través de llamadas recursivas a WNetOpenEnum y WNetEnumResources, el escáner crea una lista de todos los servidores que son accesibles globalmente a través de la red Windows. Luego se verifica la lista de servidores para determinar si alguno de ellos alberga una interfaz para los modelos de objetos componentes (COM) que se enumeran a continuación: Esta es la primera muestra “en la naturaleza” que utiliza escaneo OPC. Sin embargo, es posible que estos atacantes hayan utilizado este malware como campo de pruebas para su uso futuro”, añade el experto de FireEye en el post.

Las características implementadas en esta variante del troyano Havex lo convierten en una herramienta privilegiada para la recopilación de inteligencia; la variante analizada por FireEye no incluía ningún componente para el sabotaje de ICS.

Energía Negra

El 23 de diciembre, la región de Ivano-Frankivsk en Ucrania sufrió un importante corte de energía; según expertos en ciberseguridad y el Gobierno ucraniano los atacantes utilizaron una variante destructiva del popular malware BlackEnergy .

BlackEnergy es un popular troyano DDoS ; Llegó a los titulares en cuando se informó que había sido utilizado durante el conflicto entre Rusia y Georgia. El código malicioso se utilizó para lanzar ataques cibernéticos contra la infraestructura de Georgia, fue escrito por un hacker ruso y originalmente también se utilizó para fraudes bancarios y distribución de spam .

Se utilizaron otras variantes en ataques dirigidos a entidades gubernamentales y empresas privadas en una variedad de industrias.

Los investigadores notaron que los mismos estados afectados por el malware BlackEnergy ya fueron objetivo de otra campaña de ciberespionaje rastreada por F-Secure como CosmicDuke , que estaba asociada con piratas informáticos de estados-nación rusos.

BlackEnergy que apuntó a los sistemas ICS en Ucrania incluye un nuevo componente denominado KillDisk, que tiene la tarea de destruir unos 4.000 tipos de archivos diferentes y hacer que las máquinas no puedan arrancar.

El componente KillDisk se utilizó para comprometer a las empresas energéticas de Ucrania; era ligeramente diferente de otras versiones utilizadas en la naturaleza.

Acepta un argumento de línea de comando para establecer un retraso de tiempo específico cuando se debe activar la carga útil destructiva.

El malware también elimina los registros de eventos de Windows: aplicación, seguridad, configuración, sistema y se centra menos en eliminar documentos. Sólo se dirigen a 35 extensiones de archivo.

La cepa de malware detectada por ESET en también utiliza una puerta trasera SSH previamente desconocida para acceder a los sistemas infectados, además de la puerta trasera BlackEnergy.

“ESET ha descubierto recientemente que el troyano BlackEnergy se utilizó recientemente como puerta trasera para entregar un componente destructivo KillDisk en ataques contra compañías de medios de comunicación ucranianas y contra la industria de energía eléctrica”, afirma la entrada del blog publicada por ESET .

Los expertos de ESET destacaron la presencia de números Build IS en el código BlackEnergy; Estos datos podrían proporcionar información útil para la atribución del código malicioso. En el caso específico, los números de identidad de la compilación sugieren la posible participación de piratas informáticos rusos, pero ESET evitó confirmarlo.

“Aparte de una lista de servidores CC, la configuración de BlackEnergy contiene un valor llamado build_id. Este valor es una cadena de texto única utilizada para identificar infecciones individuales o intentos de infección por parte de los operadores de malware BlackEnergy. Las combinaciones de letras y números utilizadas a veces pueden revelar información sobre la campaña y los objetivos”, afirma la publicación. “Podemos especular que algunos de ellos tienen un significado especial. Por ejemplo,telsmi podría contener el acrónimo ruso SMI – Sredstva Massovoj Informacii,en podría significar Energía, y también está el obvio “Kiev”.”

Según el medio ucraniano TSN, el corte de energía fue causado por un malware destructivo que desconectó las subestaciones eléctricas. Los expertos especulan que los piratas informáticos llevan a cabo una campaña de phishing en las autoridades energéticas de Ucrania para difundir el malware BlackEnergy aprovechando los documentos de Microsoft Office.

Investigaciones posteriores revelaron que los atacantes aprovecharon el poder de BlackEnergy; en un artículo publicado por SANS se explica que esto permitió a los atacantes afianzarse en los sistemas de las compañías eléctricas, donde pudieron abrir disyuntores, que cortaban el poder.

Atacantes desconocidos utilizaron una utilidad de limpieza llamada KillDisk y lanzaron una denegación de servicio en las líneas telefónicas para impedir que el personal de la empresa recibiera informes de cortes de los clientes.

A continuación se detallan los hitos de los ciberataques informados por SANS:

Es importante explicar que no hay evidencia de que KillDisk haya sido la única causa del corte de energía que afectó a 80.000 clientes.

Es posible afirmar eso, aunque demasiado pronto en el análisis técnico. “

El informe de SANS casi no deja lugar a dudas, BlackEnergy fue de hecho el ingrediente clave de este ataque:

“Actualmente evaluamos que el malware permitió a los atacantes afianzarse en las utilidades objetivo, abrir el comando y control y facilitar la planificación de un ataque proporcionando acceso a la red y a la información necesaria. El malware también parece haber sido utilizado borrar archivos en un intento de negar el uso del sistema SCADA con fines de restauración para amplificar los efectos del ataque y posiblemente retrasar la restauración”.

En febrero de, los expertos en malware de Trend Micro descubrieron cepas de malware BlackEnergy involucradas en ataques dirigidos contra los sistemas ferroviarios y mineros de Ucrania.

En el mismo período, los expertos de la empresa ESET proporcionaron detalles sobre la nueva campaña basada en el troyano BlackEnergy que atacó a los medios de comunicación y la industria eléctrica de Ucrania en.

industrial

Hace unos días, los investigadores de malware de la firma antivirus ESET descubrieron una nueva cepa de malware, denominada Industroyer, que parece haber sido diseñada para atacar las redes eléctricas .

Los expertos publicaron un análisis detallado del malware; especularon que el código malicioso había estado involucrado en el ataque de diciembre de a una subestación eléctrica en Ucrania.

“Win32/Industroyer es una sofisticada pieza de malware diseñada para interrumpir los procesos de trabajo de los sistemas de control industrial (ICS), específicamente los sistemas de control industrial utilizados en subestaciones eléctricas. Quienes están detrás del malware Win32/Industroyer tienen un profundo conocimiento y comprensión de los sistemas de control industrial. y, específicamente, los protocolos industriales utilizados en los sistemas de energía eléctrica”, señala el informe publicado por ESET.

Los expertos compartieron algunos datos con la firma de seguridad ICS Dragos que rastreó el malware como CRASHOVERRIDE y el actor de amenazas responsable de la campaña como ELECTRUM.

Industryer es el cuarto malware diseñado específicamente para atacar sistemas ICS; los anteriores son Stuxnet , BlackEnergy y Havex .

Industroyer es un sofisticado malware modular que incluye varios componentes, como una puerta trasera, un iniciador, un limpiador de datos, al menos cuatro cargas útiles y muchas otras herramientas. Los expertos centraron su análisis en las cargas útiles (IEC 60870-5-101 (también conocido como IEC 101), IEC 60870-5-104 (también conocido como IEC 104), IEC 61850, OLE para acceso a datos de control de procesos (OPC DA)), los componentes principales. del malware en los ataques que permiten controlar disyuntores eléctricos.

La puerta trasera Industroyer permite a los atacantes ejecutar varios comandos en el sistema objetivo, el servidor CC está oculto en la red Tor y puede programarse para que esté activo solo en momentos específicos, lo que dificulta su detección.

La puerta trasera instala el componente de inicio, que inicia el limpiador y las cargas útiles; también coloca una segunda puerta trasera disfrazada de una versión troyanizada de la aplicación Bloc de notas de Windows.

El componente de limpieza se utiliza en la etapa final del ataque para ocultar pistas y dificultar la restauración de los sistemas objetivo.

Las cargas útiles permiten que el malware controle los disyuntores; Implementa protocolos de comunicación industrial. Los investigadores de ESET creen que los desarrolladores del malware tienen un profundo conocimiento de las operaciones de la red eléctrica y las comunicaciones de redes industriales.

5: Arquitectura industrial

“Además de todo eso, los autores del malware también escribieron una herramienta que implementa un ataque de denegación de servicio (DoS) contra una familia particular de relés de protección, específicamente la gama SIPROTEC de Siemens”, continúa ESET. “Las capacidades de este malware son significativas. En comparación con el conjunto de herramientas utilizadas por los actores de amenazas en los ataques de contra la red eléctrica ucraniana que culminaron en un apagón el 23 de diciembre de (BlackEnergy, KillDisk y otros componentes, incluido el acceso remoto legítimo). software) la pandilla detrás de Industroyer es más avanzada, ya que hicieron todo lo posible para crear malware capaz de controlar directamente interruptores y disyuntores”

Tanto ESET como Dragos recopilaron evidencia que sugiere que Industroyer/CRASHOVERRIDE estuvo involucrado en los cortes de energía de en la región de Kiev , que se atribuyeron a piratas informáticos patrocinados por el estado de Rusia.

Los investigadores de Dragos creen que el grupo ELECTRUM APT está directamente relacionado con el grupo Sandworm APT . ESET destacó que, si bien no existen similitudes de código entre el malware utilizado en los ataques de y en Ucrania, algunos componentes son similares en concepto.

“El malware CRASHOVERRIDE afectó a una subestación de nivel de transmisión única en Ucrania el 17 de diciembre de. Muchos elementos del ataque parecen haber sido más una prueba de concepto que lo que era completamente capaz en el malware. Sin embargo, lo más importante que hay que entender desde la evolución del oficio es la codificación y escalabilidad del malware hacia lo aprendido a través de ataques pasados”, afirma el informe publicado por Dragos.

Los investigadores de Dragos publicaron la descripción de los ataques teóricos; Los piratas informáticos utilizaron el malware Industroyer para abrir interruptores cerrados en un bucle infinito, lo que provocó que la subestación se desenergizara.

“El comando luego comienza un bucle infinito y continúa configurando direcciones a este valor abriendo efectivamente los interruptores cerrados. Si un operador del sistema intenta emitir un comando de cierre en su HMI, el bucle de secuencia continuará reabriendo el interruptor. Este bucle se mantiene abierto Los disyuntores desenergizarán efectivamente las líneas de la subestación, evitando que los operadores del sistema gestionen los disyuntores y vuelvan a energizar las líneas. afirma el informe Dragos.

Los operadores de la instalación objetivo no pueden cerrar los interruptores desde la HMI; para restablecer la situación, deben interrumpir las comunicaciones con la subestación y solucionar el problema manualmente.

En otro posible escenario de ataque, los piratas informáticos inician un bucle infinito en el que los disyuntores se abren y cierran continuamente, lo que puede activar protecciones y provocar el cierre de la subestación.

Referencias

http://securityaffairs.co/wordpress/57412/malware/siemens-plc-ics-malware.html

http://securityaffairs.co/wordpress/26092/cyber-crime/cyber-espionage-havex.html

http://securityaffairs.co/wordpress/26778/cyber-crime/havex-variant-opc.html

http://securityaffairs.co/wordpress/44452/hacking/blackenergy-mining-and-railway-systems.html

http://securityaffairs.co/wordpress/59989/malware/industroyer-malware.html

https://ics.sans.org/blog//01/09/confirmation-of-a-coordinated-attack-on-the-ukrainian-power-grid

http://securityaffairs.co/wordpress/43281/malware/blackenergy-targets-ukraine.html

http://securityaffairs.co/wordpress/44034/hacking/blackenergy-spear-phishing-macros.html

http://securityaffairs.co/wordpress/43483/malware/43483.html

https://dragos.com/blog/mimics/

https://www.f-secure.com/weblog/archives/00002718.html

https://www.f-secure.com/weblog/archives/0000.html

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/stuxnet_0_5_the_missing_link.pdf

http://securityaffairs.co/wordpress/43677/malware/new-revelations-stuxnet-attack.html