首起黑客引起的停电事件预示令人不安的冲突升级
一则极具破坏性的恶意软件给乌克兰的三个变电站带来了“破坏性事件”。
研究人员表示,上周,一则极具破坏性的恶意软件感染了乌克兰的至少三个区域电力部门,导致了大规模停电,成千上万户家庭因此而停电。
乌克兰通讯社TSN在12月23日停电后那天发表的一篇文章中报道,这次停电事件使乌克兰伊万诺-弗兰科夫斯克地区的近一半家庭遭遇停电。报道继续指出,停电根源是一则恶意软件导致变电站断网。周一,安全公司 iSight Partners的研究人员表示,他们已经获得了恶意代码的样本,恶意代码至少感染了三家区域电力运营商。他们表示,恶意软件导致了“破坏性事件”,进而导致了这起停电事件。一旦被证实,这将是有人利用恶意软件引起停电的首个已知案例。
iSIGHT公司的网络间谍情报部门负责人John Hultquist告诉媒体:“这是一个里程碑,因为我们之前确实见到过针对能源行业(比如石油公司)的针对性破坏事件,但是从没见过引起停电的事件。这也是我们长期以来一直所担心的严峻情形。”
防病毒软件提供商ESET的研究人员已证实,乌克兰的多个电力部门被“BlackEnergy”所感染,早在2007年就发现的这个程序包在两年前被更新,添加了众多新功能,包括让被感染的计算机无法启动的功能。最近ESET发现,这个恶意软件再次更新,增加了一个名为KillDisk的组件,它能够破坏计算机硬盘的关键部分,还似乎具有蓄意破坏工业控制系统的功能。最新的BlackEnergy还包括一个留下后门的安全外壳(SSH)实用程序,让攻击者得以永久访问被感染的计算机。
“完全有能力”
就在不久前,BlackEnergy还主要被用来对新闻机构、电力公司及其他行业组织的目标实施间谍活动。虽然ESET差点儿表示攻击电力公司的BlackEnergy恶意软件是上周停电的罪魁祸首,但这家公司基本上确信:一个或多个BlackEnergy组件有这种能力。ESET的研究人员在周一发表的博文中写道:
“我们对乌克兰几家配电公司发现的破坏性KillDisk恶意软件进行了分析,结果表明,它在理论上能够关闭关键系统。然而,还有另一种可能的解释。BlackEnergy 后门以及最近发现的SSH后门,它们本身让攻击者得以远程访问被感染的系统。攻击者利用其中一种特洛伊木马成功地渗入到关键系统后,同样从理论上来讲,完全有能力关闭系统。在这种情况下,植入的 KillDisk破坏性特洛伊木马无异于加大了恢复系统的难度。”
在过去这一年,BlackEnergy背后的团伙慢慢增强了破坏力。去年年底,据来自乌克兰计算机紧急响应小组的一份报告显示,BlackEnergy的KillDisk模块感染了这个国家的新闻媒体组织,导致视频及其他内容永久性丢失。ESET表示,这次攻击乌克兰电力公司的KillDisk具有类似的功能,不过旨在删除范围窄小得多的一组数据。KillDisk还得到了更新,蓄意破坏两个计算机流程,包括与工业控制系统所使用的ELTIMA串口以太网连接器有关的远程管理平台。
2014 年,BlackEnergy背后的团伙(被iSIGHT称为“沙虫团伙”)攻击了北大西洋公约组织、乌克兰和波兰政府机构,还攻击了众多敏感的欧洲工业。iSIGHT的研究人员表示,“沙虫团伙”与俄罗斯有着密切关系,不过提醒读者切勿随意将黑客攻击与特定的组织或政府联系起来。
据ESET声称,乌克兰电力当局是攻击者使用嵌入在微软Office文档里面设下陷阱的宏函数而被感染的。如果属实,攻击者使用这样一种简单的社会工程学伎俩,就能感染用来为成千上万人供电的工业控制系统,这确实令人不安。另外让人深为忧虑的是,如今这种恶意软件还被用来引发停电事件,而这关系到无数人的生命安全。
路透社上周报道,乌克兰当局正在调查疑似攻击其电网的一起黑客攻击。REST透露了有关最新BlackEnergy程序包的更多的技术细节,详见http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/。
虽然沙特阿拉伯最大的天然气生产商在2012年也受到了破坏性恶意软件的感染,但是并未证实生产受到影响。iSIGHT的报告表明,恶意软件引发的冲突会不断升级,这给全球各地的工业化国家带来了严重后果。