据了解,这是首次由黑客的攻击行为而导致的停电事件,此次事件引起了公众极大的恐慌。黑客使用了高度破坏性的恶意软件在乌克兰境内的三处变电站制造了严重的“破坏性事件”。
研究人员表示,在乌克兰境内,具有高度破坏性的恶意软件至少感染了三个地区电力部门的电力基础设施,从而导致了发电设备产生故障。据统计,此次事件使得上周成千上万的乌克兰家庭无电可用。
乌克兰的新闻媒体TSN电视台在此事件发生过后的第二天就发表了一篇专题报道,据其报道,此次停电事件使得乌克兰境内伊万诺-弗兰科夫斯克地区一半的家庭遭受了停电的困扰。该报道还提到,此次停电事件是由恶意软件所导致的,因为恶意软件断开了电气变电站的电路链接。周一,iSIGHT Partners安全公司的研究人员表示,他们已经从地区电力运营商处获取到了该恶意软件的代码样本。研究人员认为,该恶意软件引发了“破坏性事件”,进而导致了大面积的停电。如果这一信息能够得到证实,那么此次事件将会是首次由黑客和恶意软件所引发的停电事件。
John Hultquist是iSIGHT公司的网络间谍情报实践部门的主管,他认为:“这是一个里程碑式的事件,因为我们在此之前曾见到过针对能源领域的破坏性事件-例如石油公司,但我们还没有遇到过能够导致停电的破坏性事件。而此类停电事件也是我们担心已久的了,可是它最终还是发生了。”
据了解,反病毒软件提供商ESET的安全研究人员已经证实了,乌克兰境内的多处电力设施受到了“BlackEnergy”的感染。BlackEnergy(黑暗力量)是一个被各种犯罪团伙使用了很多年的工具,该工具流通在俄罗斯的地下网络,最早能够追溯到2007年。刚开始,它被设计为一个在DDos攻击中创建僵尸网络的工具。有些团伙利用它发送垃圾邮件;而另一些则用它来盗取银行凭证。最恶名昭彰的案例是在2008年俄格冲突期间,该工具被用来对格鲁吉亚实施网络攻击。随着时间的推移,这款恶意软件已经演变为支持各种插件,这些插件能够基于攻击的意图进行组合以提供必要的功能。
最近,ESET发现,这款恶意软件再次进行了更新,其新增了一款名为KillDisk的插件,该插件能够破坏计算机硬盘驱动器中的核心组件,而且该插件似乎也有破坏工业控制系统的能力。最新版的BlackEnergy还带有一个安全Shell(SSH)实用工具,这个工具将会使攻击者能够获取到目标系统的永久访问权。
“杀伤力巨大!”
直到现在,黑客主要会将BlackEnergy用于对新闻机构,能源公司,以及其他的工业组织进行间谍活动的过程中。ESET公司一直坚持认为:“就是BlackEnergy感染了电力设施,进而导致了上周的停电事件。而且毫无疑问,在BlackEnergy中,肯定不止一个组件拥有这样破坏性巨大的功能。”
ESET在周一发表了一篇博文,该公司的研究人员在文章中写到:我们已经在乌克兰境内的多家配电公司的设备中检测到了KillDisk(破坏性非常大的一款恶意软件),在我们对其进行了研究和分析之后,我们发现该恶意软件理论上来说是能够关闭电力设施中的关键系统的。但是,目前还有另一种解释。BlackEnergy后门,也就是一个SSH后门,攻击者能够利用它来远程访问并感染电力系统。在成功地利用这些木马病毒感染了电力设施中的一个关键系统之后,从理论上来说攻击者是能够将电力设备关闭的。在这种情况下,向目标系统中植入KillDisk木马将会使得电力设备的恢复工作变得更加的艰难。
在过去的几年时间内,BlackEnergy背后的开发团队已经放慢了提升其破坏能力的脚步。去年年底,根据乌克兰一个计算机应急反应小组的报告,BlackEnergy的KillDisk模块曾感染了乌克兰的多家媒体机构,并且导致这些机构中的某些视频资料和其他的一些资料永久性丢失了。根据ESET的报告,感染了乌克兰能源公司的KillDisk插件也有类似的功能,但在那个版本中,它只会删除一小部分的数据集。KillDisk插件与BlackEnergy一样,它也会进行更新和升级。最新版本的KillDisk可以破坏两类关键的计算机程序,其中就包括一个能够与工业控制系统中ELTIMA串口转以太网连接器进行链接的远程管理平台。
在2014年,BlackEnergy的开发团队(iSIGHT公司怀疑该组织就是Sandworm gang)针对北大西洋公约组织,乌克兰和波兰政府机构,以及欧洲各种重要的工业公司进行了攻击。iSIGHT公司的安全研究人员表示,Sandworm gang与俄罗斯有关,而且广大读者也总是会将黑客的攻击事件与某些特定的组织或者国家的政府联系起来。
根据ESET公司的报告,乌克兰的电力部门在微软的Office文档中因操作失误而使用了内嵌的恶意宏功能,所以才导致电力部门的基础电力设施受到了感染。如果这一说法得到了证实,那就太叫人大跌眼镜了。需要为上百万居民提供电力的工业控制系统竟然会被一个如此简单的社会工程学伎俩击垮!而且我们还需要考虑到,攻击者不仅可以使用这些恶意软件来造成电力故障,而且这样的停电事件还有可能会带来大量人员伤亡的惨剧。
英国的路透社在上周曾报道称,乌克兰当局正在对一次针对其电网的可疑攻击事件进行调查。ESET公司给大家提供了最新版BlackEnergy软件包中的详细技术细节,感兴趣的读者可以点击这里以获取更多相关的信息。
虽然沙特阿拉伯最大的天然气生产商在2012年也曾受到过破坏性恶意软件的攻击,但却并没有影响该公司的正常生产活动。根据iSIGHT公司的报告,这一事件将给我们敲响警钟,恶意软件对工业基础设施控制权的争夺将会愈演愈烈。在将来,此类事件会在工业化国家中发生得越来越频繁。
后续报道链接:BlackEnergy木马再度来袭:攻击乌克兰的电力工业