一则极具破坏性的恶意软件给乌克兰的三个变电站带来了“破坏性事件”。

研究人员表示，上周，一则极具破坏性的恶意软件感染了乌克兰的至少三个区域电力部门，导致了大规模停电，成千上万户家庭因此而停电。

乌克兰通讯社TSN在12月23日停电后那天发表的一篇文章中报道，这次停电事件使乌克兰伊万诺－弗兰科夫斯克地区的近一半家庭遭遇停电。报道继续指出，停电根源是一则恶意软件导致变电站断网。周一，安全公司 iSight Partners的研究人员表示，他们已经获得了恶意代码的样本，恶意代码至少感染了三家区域电力运营商。他们表示，恶意软件导致了“破坏性事件”，进而导致了这起停电事件。一旦被证实，这将是有人利用恶意软件引起停电的首个已知案例。

iSIGHT公司的网络间谍情报部门负责人John Hultquist告诉媒体：“这是一个里程碑，因为我们之前确实见到过针对能源行业（比如石油公司）的针对性破坏事件，但是从没见过引起停电的事件。这也是我们长期以来一直所担心的严峻情形。”

防病毒软件提供商ESET的研究人员已证实，乌克兰的多个电力部门被“BlackEnergy”所感染，早在2007年就发现的这个程序包在两年前被更新，添加了众多新功能，包括让被感染的计算机无法启动的功能。最近ESET发现，这个恶意软件再次更新，增加了一个名为KillDisk的组件，它能够破坏计算机硬盘的关键部分，还似乎具有蓄意破坏工业控制系统的功能。最新的BlackEnergy还包括一个留下后门的安全外壳（SSH）实用程序，让攻击者得以永久访问被感染的计算机。

“完全有能力”

就在不久前，BlackEnergy还主要被用来对新闻机构、电力公司及其他行业组织的目标实施间谍活动。虽然ESET差点儿表示攻击电力公司的BlackEnergy恶意软件是上周停电的罪魁祸首，但这家公司基本上确信：一个或多个BlackEnergy组件有这种能力。ESET的研究人员在周一发表的博文中写道：

“我们对乌克兰几家配电公司发现的破坏性KillDisk恶意软件进行了分析，结果表明，它在理论上能够关闭关键系统。然而，还有另一种可能的解释。BlackEnergy 后门以及最近发现的SSH后门，它们本身让攻击者得以远程访问被感染的系统。攻击者利用其中一种特洛伊木马成功地渗入到关键系统后，同样从理论上来讲，完全有能力关闭系统。在这种情况下，植入的 KillDisk破坏性特洛伊木马无异于加大了恢复系统的难度。”

在过去这一年，BlackEnergy背后的团伙慢慢增强了破坏力。去年年底，据来自乌克兰计算机紧急响应小组的一份报告显示，BlackEnergy的KillDisk模块感染了这个国家的新闻媒体组织，导致视频及其他内容永久性丢失。ESET表示，这次攻击乌克兰电力公司的KillDisk具有类似的功能，不过旨在删除范围窄小得多的一组数据。KillDisk还得到了更新，蓄意破坏两个计算机流程，包括与工业控制系统所使用的ELTIMA串口以太网连接器有关的远程管理平台。

2014 年，BlackEnergy背后的团伙（被iSIGHT称为“沙虫团伙”）攻击了北大西洋公约组织、乌克兰和波兰政府机构，还攻击了众多敏感的欧洲工业。iSIGHT的研究人员表示，“沙虫团伙”与俄罗斯有着密切关系，不过提醒读者切勿随意将黑客攻击与特定的组织或政府联系起来。

据ESET声称，乌克兰电力当局是攻击者使用嵌入在微软Office文档里面设下陷阱的宏函数而被感染的。如果属实，攻击者使用这样一种简单的社会工程学伎俩，就能感染用来为成千上万人供电的工业控制系统，这确实令人不安。另外让人深为忧虑的是，如今这种恶意软件还被用来引发停电事件，而这关系到无数人的生命安全。

路透社上周报道，乌克兰当局正在调查疑似攻击其电网的一起黑客攻击。REST透露了有关最新BlackEnergy程序包的更多的技术细节，详见http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/。

虽然沙特阿拉伯最大的天然气生产商在2012年也受到了破坏性恶意软件的感染，但是并未证实生产受到影响。iSIGHT的报告表明，恶意软件引发的冲突会不断升级，这给全球各地的工业化国家带来了严重后果。