BlackEnergy与乌克兰供电中断:我们究竟该如何解读
随着最近乌克兰能源供应公司周边设施中出现恶意软件的消息传出,围绕其展开的猜测与误解也同样不绝于耳。ESET公司的研究员们已经发布了一份详尽的恶意软件及其危险功能分析报告,而其可能正与近来这次影响到数十万乌克兰民众的供电中断事故紧密相关。
“通过对恶意软件进行分析,我们已经向乌克兰的能源部门提供了一些相关线索,但我们所掌握的情况还仅仅是整个谜团的冰山一角,”ESET公司高级恶意软件研究员Robert Lipovsky解释称。“仍有很多疑问没能得到解答。”
在此次采访当中,他以去伪存真的方式为这个引发了高度关注的故事提供专业的审视角度。
某些媒体在报道当中将一项结论视为事实,即此次电力中断事故单纯是由恶意软件所引发。您对这样的说法是否认同?
“电力对于任何组织而言都属于致命的软肋——因为其对此类事故根本无能为力。事实上,严重的停电事故将成为每个敌人的噩梦。”
遗憾的是,目前尚不清楚,或者说无法将其归结为如此简单的原因。但报道中真实可信的部分在于BlackEnergy木马,外加一项SSH后门以及破坏性KillDisk组件,这几项要素在乌克兰供电公司内部皆有发现——三者结合起来构成了非常可怕的恶意工具组合,其在理论上意味着攻击者能够远程访问该公司的网络、关停其关键性系统并通过清除数据使其难以重新恢复设施的正常运转。
不过此次案例中的另一大重点在于,针对乌克兰供电设施的攻击活动可能预示着未来高复杂度攻击的表现状态。电力是任何组织的软肋所在,而一次严重的停电事故足以成为任何敌人的噩梦。
也许我们见证了有人试图让对手的噩梦变成现实。
你看,我们的关注重点主要放在互联网安全领域,但对于此次引发的停电事故,相关攻击者肯定夺取到了工业系统的控制权。
一方面,互联网与工业系统是完全不同的两个世界。另一方面,目前大多数专门的工业硬件编程与控制软件都运行在安装有Windows或者Linux的PC设备之上。这意味着未来还将有更多利用类似甚至是相同恶意软件实现的针对性攻击出现在内部网络用户的视野当中。当然,各类常规攻击向量都可供其使用,包括人为错误以及社区工程等等。
听起来将工业系统与互联网相对接的作法非常危险。那么相关管理人员为什么要这么做?
是的,这种互连机制带来了一系列风险。而对于这种作法,我们能够想到的首要原因就是实用性与成本节约效果。
即使不讨论细节,也可以看到这种互连机制令工业控制系统遭到暴露,并面对着与普通计算机相同的威胁——但其防御选项却比后者少得多。就以补丁安装为例:专有软件的补丁通常在与工业系统相匹配时存在诸多障碍,因为工业系统往往经过高度定制且需要始终保持运转。
再回到乌克兰的案例中来,我们发现其能源企业的IT环境当中存在的BlackEnergy木马其实是一种后门。而更可怕的是,我们发现其还受到了其它一些组件的加载,即一套后门SSH服务器。这就解答了我们在这类工作中经常面临的一类问题:将BlackEnergy恶意软件植入到能源企业网络中的主要动机究竟是什么?
我们都知道,追踪网络犯罪活动是件极为困难的任务。您是如何看待这项工作的?
这个问题确实非常复杂。
2014年9月,我们曾经就BlackEnergy被用于针对乌克兰及其它一些国家的多个高价值目标进行攻击进行过探讨。而就在几周之后,这些攻击活动以及背后的相关嫌疑组织即被多家安全厂商发现并冠以“Sandworm”的名号。
尽管BlackEnergy恶意软件很可能源自俄罗斯,且往往被认为(可能)与俄罗斯国内的某个恶意组织有所关联,但目前还没有任何实质性证据能够证明这一点。该恶意软件家族在其整个生命周期当中已经发生了显著演进——其最初版本的源代码甚至已经泄露到了网上,而且出现了一系列对其加以运用的案例。就当前来讲,我们还无法证明BlackEnergy恶意软件是由哪个单一组织或者推手所打造。
让我们再来讨论其动机所在……
在与供电企业的工业控制系统相对接的IT系统当中植入一个活动的功能性后门……我认为其实际意义已经无需说明了。
也许同样的案例能够帮助我们勾勒出更多可能性场景……
过去,曾经有一系列针对工业系统的网络的网络攻击活动出现。不过并非每个案例都有严谨的证据,因为受害者们往往倾向于隐瞒自身受到攻击这一事实。然而,目前已经有两个案例被广泛认定为真实存在:伊朗核设计中铀浓缩离心机破坏事件以及德国钢厂高炉损坏事件。在各类因素当中,恶意软件成为人们普遍关注的焦点所在,而美国则成为可能性最高的幕后黑手——其很可能在利用网络武器打击自己的敌对国家。
那么各组织机构该如何避免自身运营技术方案免受网络攻击活动的影响?
首先,关键性工业系统应当与IT系统彼此隔离。但遗憾的是,在现实当中我们有时候甚至会发现一些与互联网相对接的工业控制系统——只需通过谷歌即可搜索得出。重要的是,我们需要严格遵循US CERT或者SANS协会等机构的防御策略建议。
“关键性工业系统应当与IT系统彼此隔离。”
接下来,对于工业设施中的“常规”计算机设备——也就是那些出于各种理由而没有被隔离的计算机——都应当符合常规网络安全规则,即以多层化方式将所运行安全软件更新至最新版本、实施妥善的补丁管理机制、进行数据备份并对普通用户进行安全意识培训等等。
但在我看来,各企业通常低估了自身运营技术方案所面临的网络风险。
虽然我不想承认,但你说的确实是事实。不过另一个诱因将显著影响企业对于网络安全事物的关注程度。穆迪评级机构已经发布警告称,其将在对企业信用进行评级时将网络风险应对能力纳入其中。我们也希望此次出现的乌克兰电力中断事故能够作为一种警示,提醒全球范围内的各组织机构对自身IT安全性水平加以强化。
转载请注明来自 E安全 (www.easyaq.com)
您也可以下载E安全app获取及时最及时的安全资讯