Specjaliści z F-Secure wykryli zagrożenie, które zostało stworzone prawdopodobnie w celu zaatakowania infrastruktury przemysłowej. Havex składa się z dwóch komponentów: oprogramowania, które daje administratorowi zdalną kontrolę nad urządzeniem (ang. Remote Access Trojan, w skrócie RAT), oraz serwera napisanego w języku PHP. Celem twórców Havexa były systemy zarządzania ICS/SCADA, które nadzorują przebieg procesów technologicznych i produkcyjnych.

W pierwszej fazie ataku do oprogramowania, które można było pobrać ze stron producentów systemów ICS/SCADA, wszczepiono konia trojańskiego. Złamane zostały zabezpieczenia stron internetowych co najmniej trzech firm z Belgii, Niemiec i Szwajcarii. Po zainstalowaniu pobranych stamtąd aplikacji zainfekowane maszyny łączyły się z serwerami Command&Control i wysyłały na nie wykradzione dane.

W trakcie prowadzonego przez specjalistów dochodzenia odnotowano, że na serwery Havexa trafiły informacje z około 1,5 tys. adresów IP. Ofiarami tego szkodnika okazały się przede wszystkim instytucje i firmy z Europy zajmujące się rozwiązaniami przemysłowymi. Znalazły się wśród nich m.in. dwa francuskie instytuty badawcze i dwie niemieckie firmy (jedna produkująca aplikacje, druga - urządzenia na potrzeby przemysłu). Havex został więc stworzony jako narzędzie szpiegostwa przemysłowego.

Więcej szczegółów technicznych można znaleźć na blogu F-Secure. Tutaj odnotujemy tylko, że część kodu Havexa sugeruje, iż jego twórcy oprócz wykradania danych o procesach przemysłowych mogli mieć na celu również wpływ na ich przebieg. Z obserwacji ekspertów wynika, że najbardziej interesowała ich infrastruktura energetyczna. Od czasów Stuxneta (i jego klonów) nie odkryto do tej pory podobnego zagrożenia.

Czytaj także: Gauss - kolejna cyberbroń z tej samej rodziny, co Stuxnet, Duqu i Flame