查看原文
其他

乌克兰电网攻击纪实:能力逆天的狡猾黑客

2016-03-04 E安全 E安全

时间正值2015年12月23号下午3:30,乌克兰西部伊万诺-弗兰科夫斯克地区的居民们结束了一天的工作,陆续走向通往温暖家中的寒冷街道。而在负责当地电力供应的Prykarpattyaoblenergo控制中心,运维人员也即将完成自己的当次轮班。但就在这一切顺利推进的同时,平静被打破了——一位当值人员在整理桌上文件时,突然发现自己的计算机屏幕上的光标开始四处游移。

他看到光标指向负责当地变电站断路器的导航按钮,点击对话框并选择断开断路器——这项操作将使得整座变电站全面下线。接下来,屏幕上出现了确认窗口以复核上述操作,这位运维人员目瞪口呆地看着光标移动到框体之内并点击了确定。这时他已经可以肯定,城外的某处区域内数以千计的居民将因此陷入黑暗与寒冷当中。

这位运维人员立刻抓起鼠标,试图夺回对光标的控制权——但他的反应似乎还是慢了一点。光标随后朝着另一个断路器控制按钮移动,而设备亦突然将他从控制面板中登出。虽然他反复尝试重复登录,但攻击者变更了他的密码内容,使其无法顺利完成验证。这时候,他能做的只有无奈地盯着屏幕,眼睁睁地看着设备中的恶意幽灵断开一个又一个断路器,最终导致约30座变电站下线。然而攻击者并没有就这样停下脚步。此次攻击还影响到另外两座配电中心,这意味着遭遇下线的变电站数量几乎翻了一倍,使得超过23万名居民陷入无电可用的困境。不仅如此,其亦无法从总计三座电力供应中心的两座处获取备用电力,这意味着运维人员自身也被停电引发的黑暗所笼罩。

天才般的网络作战计划

作为有史以来首例得到确认的电力设施攻击行动,此次乌克兰电力中心遇袭案的组织者们并不是碰巧接入其网络并发动功能测试攻击的机会主义者;根据相关广泛调查得出的最新结论,这群恶意人士拥有高超的技术水平及藏身策略。他们已经拿出几个月时间对攻击细节进行精心策划,包括首先侦察并研究网络条件、获取运维人员登录凭证,而后发动这次严密编排下的同步攻击活动

“此次攻击显示出其非凡的能力,”调查协助人员Robert M. Lee表示。Lee原先曾在美国空军担任网络战作战军官,如今则成为关键性基础设施安全厂商Dragos Security公司的联合创始人。“就成熟程度而言,大多数人关注的主要是攻击活动中所使用的恶意软件,”他解释称。“但对我来讲,真正代表着攻击手段成熟度的其实是个中逻辑、规划与操作,乃至整个攻击过程中的实施步骤。而这一次攻击显然非常成熟。”

乌克兰迅速将攻击发起者认定为俄罗斯。Lee并没有给出任何具体的攻击发动者猜测,但表示他发现此次攻击活动中不同层级乃至不同定位间的分工与协作方式非常明确且高效。这意味着此次攻击很可能源自多方的通力配合——也许是网络犯罪集团与政府支持攻击者间配合完成。

“这次攻击活动显然由资金充裕且人员水平出色的团队完成。……但这并不一定意味着其由民族国家所支持,”他解释称。也许最初是由网络犯罪分子获取到网络的初始接入途径,而后将其交付至民族国家以实际执行入侵活动。

乌克兰控制系统之安全水平意外高于美国境内部分设施

无论如何,此次攻击成功影响到了乌克兰的发电设施,并给全球各国的诸多配电中心带来值得借鉴的重要启示,专家们表示。而更令人意外的是,乌克兰控制系统的安全水平高于美国境内部分设施,因为其拥有经过明确划分的控制中心业务网络并辅以强大的防火墙方案。不过最终,其仍然没能带来理想的安全保护水平——SCADA网络远程登录与用于控制电网的监督控制与数据采集网络并没有使用双因素认证机制,这使得攻击者能够在劫持到登录凭证之后顺利控制其中的断路器系统,从而达成令供电设施下线的最终目标。

另外,乌克兰境内的停电状态并没有持续太久:全部地区的停电时长在一到六小时之间。不过在此次攻击的两个月之后,控制中心仍然没有全面恢复运转,美国最近发布的一份报告指出。参加相关调查工作的乌克兰与美国计算机安全专家们指出,攻击者们覆写了16座变电站的关键性设备固件,这意味着这些设备将无法对来自运维人员的任何远程指令做出回应。虽然电力供给已经恢复,但工作人员仍然需要以手动方式控制断路器。

不过这样的结果其实还好,或者说要比美国设施遭受攻击后的表现更好,专家们表示。由于美国境内大多数电力供应控制系统根本不提供手动操作功能,这意味着一旦攻击者们破坏了其自动化系统,那么工作人员将很难找到可行的方式快速恢复供电。

攻击活动时间线

美国的众多机构正在帮助乌克兰方面开展攻击活动调查,其中包括FBI与DHS(美国国土安全部)。Lee与Michael J. Assante则从属于参与其中的计算机安全专家,二位在华盛顿特区的SANS研究所负责计算机安全教学工作,并计划发布一份与其当前分析工作相关的报告。根据他们的说法,调查人员惊喜地发现,乌克兰配电公司拥有庞大的防火墙日志与系统日志存量,足以帮助他们重构事件原貌——这种储备与强大的日志记录能力在任何企业网络当中都相当罕见,更遑论关键性基础设施环境下了。

美国也在利用同样的串行到以太网转换模式支撑配电网络体系。

根据Lee与一位协助调查的乌克兰安全专家所言,此次攻击始于去年春季针对IT人员与系统管理员的鱼叉式钓鱼攻击——而这类群体负责的正是乌克兰国内各供电企业的网络管理工作。乌克兰供电网络分为24个区,每个区涵盖11到27个省份,各每个供电区归属于不同的配电公司。该钓鱼活动针对三家供电企业的员工发送附带恶意word文档的电子邮件。一旦员工点击该附件,系统会弹出对话框以要求其启用文档宏。如果点击确定,其将调用名为BlackEnergy3的程序——其各类变种已经广泛感染欧洲及美国境内的其它系统——从而感染当前设备并为攻击者开启后门。这种方法值得关注,因为目前大多数入侵活动都在利用软件程序编码错误或者安全漏洞。但在钓鱼攻击当中,攻击者利用微软Word程序中的既有功能。使用宏功能的作法早在上世纪九十年代就已经出现,而如今这种老式手段又开始卷土重来。

在最初的侵入活动中,攻击者仅仅触及到了企业网络。不过他们仍然能够接入SCADA网络并控制电力网络。相关供电企业明智地利用防火墙对这些网络加以隔离,意味着攻击者面前只有两种可行选项:要么寻求防火墙中可资利用的安全漏洞,要么搜索其它侵入途径——他们选择了后者。

在几个月时间当中,他们进行了广泛的网络侦察、探索与映射工作,并最终获得了访问Windows域控制器以管理网络内用户账户的能力。以此为基础,他们收集到相关员工登录凭证以及部分工作用VPN以远程登录至该SCADA网络。一旦进入到SCADA网络当中,恶意人士们就开始逐步实施后续攻击计划。

让客户身陷黑暗还不够,他们希望令运维人员同样目不视物

首先,他们对负责为两座控制中心提供后备电力的不间断电源(或者简称UPS)进行了重新配置。事实上,让用户们身陷黑暗还远远不够——攻击者们打算在停电时让运维人员同样无电可用。这是一种非常大胆且激进的作法,甚至可以说是对供电企业的一种赤裸裸的挑衅,Lee解释称。

每家供电企业在其网络中使用的分发管理系统都有所不同,而在侦察阶段,攻击者对其分别进行了认真研究。在此之后,他们编写的恶意固件在十几座变电站中成功通过串行到以太网转换机制取代了合法固件(该转换机制负责处理来自SCADA网络并用于控制变电站系统的命令)。“这种针对特定目的的恶意固件更新(指向工业控制系统)此前从未出现过,”Lee表示。“从攻击的角度来看,这绝对是种天才之举。我的意思是,他们虽然目的邪恶,但手段确实非常高明。”

在完成了恶意固件安装之后,攻击者们也就做好了组织恶意行为的前期准备。

2015年12月23号下午3:30左右,攻击者们通过被劫持的VPN接入到SCADA网络,并发送命令以禁用已经被其重新配置的UPS系统。在此之后,他们开始断开断路器。不过着手破坏之前,他们还针对客户呼叫中心发起了一轮电话拒绝服务攻击,旨在防止客户向运维人员报告断电状况。TDoS攻击与DDoS攻击非常相似,同样是向Web服务器发送大量数量。在这种情况下,服务中心的电话系统被大量似乎来自莫斯科的伪造呼叫所占用,这使得合法主叫方被淹没在通话请求当中。Lee指出,此举证明了攻击者行动的复杂性与规划水平。网络犯罪分子——甚至是部分国家支持下的恶意集团——都不具备如此长远与完善的攻击设计思路。“真正的高水平攻击者会将自己的精力投入到某些看似可能性极低的场景之下,从而确保自身能够覆盖一切潜在状况,”他解释称。

此举当然给了攻击者们更多时间以执行恶意任务,因为在这段时间内运维人员的设备已经被劫持,因此无法确切发现已经出现的异常状况——一部分变电站停止运转。不过如果这属于俄罗斯针对乌克兰开展的政策性攻击,那么类似的TDoS手段可能是为了实现另一项目标,Lee与Assante指出——即激起乌克兰客户的怒火并削弱乌克兰电力企业与政府在民众中的受信程度。

随着攻击者断开断路器并导致一系列变电站下线,他们正开始对部分变电站串行到以太网转换器中的固件进行覆盖,旨在利用恶意固件替换合法固件。这种影响是不可逆转且不可恢复的,意味着各转换器无法接收正常命令。“一旦对固件进行覆写,运维人员将无法对其进行恢复。大家必须身处现场并以手动方式进行合闸操作,”Lee解释称。“利用固件篡改破坏这些网关意味着我们只剩下惟一一种修复方式——重新安装新的设备并将其接入业务网络。”

在完成上述操作之后,他们接下来利用一款名为KillDisk的恶意软件对运营电站中的文件进行清除,从而中断正常操作。KillDisk能够对系统文件进行清除或者覆盖,这意味着计算机将立刻陷入崩溃。另外,由于其同时会覆盖各主引导记录,因此受感染计算机亦无法进行重启。

KillDisk中的部分组件必须进行手动设置,不过Lee表示攻击者利用两种方式通过逻辑炸弹在90分钟之内自动启动KillDisk并实施攻击。具体时间点约在下午5:00,而同一时间Prykarpattyaoblenergo在其官方网站上发布了一项公告,这也是客户们第一次得到正式通知、了解到部分服务区的电力已然中断——工作人员们正在积极处理并寻找问题根源。半小时之后,KillDisk已经完成了恶意活动。这时运维人员也基本弄清了造成停电的原因,Prykarpattyaoblenergo公司随即发布了第二项公告,提醒客户们此次停电为黑客所为。


俄罗斯是否为幕后黑手?

乌克兰情报机构已经完全肯定地指出,俄罗斯是此次攻击的幕后黑手,不过其目前尚未给出任何确切证据来支持这项结论。不过考虑到两个国家之间紧张的政治局势,这样的判断也算在情理之中。自俄罗斯于2014年吞并克里米亚地区以来,克里米亚当局一直在对当地乌克兰能源企业进行国有化转制,这使得乌克兰与俄罗斯双方彼此严重敌视。而且在乌克兰遭遇12月停电事故之前,亲乌克兰活动人士已经开始对克里米亚地区的变电站发动实体袭击,由此导致200万克里米亚居民无电可用的结果令俄罗斯及其当地海军基地方面相当恼火。考虑到这一点,我们有理由相信俄罗斯打算通过此次攻击对乌克兰进行的克里米亚变电站袭击进行报复。

不过攻击乌克兰各供电公司的恶意人士们至少在克里米亚变电站遭受攻击的六个月之前就已经开始运作此事。因此虽然克里米亚攻击有可能属于此次停电的导火索之一,但很明显这并不属于一时起意而进行的反击活动,Lee表示。Lee同时指出,取证证据表明,攻击者当初可能并不打算令乌克兰陷入停电——但克里米亚变电站攻击事件令他们转变了恶意行为思路。

“着眼于数据,看起来攻击者们已经完成了既定情报收集与其它规划目标,”他指出。“因此我们推断其已经结束了整项行动。”

他同时推测,如果俄罗斯方面真的是此次攻击的幕后组织者,那么其动机可能与当前推断完全不同。举例来说,最近乌克兰议会一直在探讨一项法案,将乌克兰境内的各私有电力企业进行国有化转制。其中部分企业由一位同普京关系密切的俄罗斯金融寡头所持有。Lee表示,此次攻击可能是为了向乌克兰当局发出警告,即不要插手影响这些私营供电企业。

这项分析结论也得到攻击活动中其它细节信息的支持:事实上,黑客们完全可以在此基础上造成更大的破坏,特别是实体破坏后果,从而保证此次停电在严重程度与时间长度方面进一步提升。美国政府曾于2007年公布过一项攻击,其中黑客们完全可以利用21行恶意代码对电力系统进行远程破坏

Lee表示,关于乌克兰电网攻击的一切事实都证明,此次事件主要是为了表达态度或者说传递信息。“‘我们要引起重视,同时要传递一条信息,’”攻击者的行为可以这样进行解读。“这是一种很符合黑手党作法的思路。‘呵呵,你们以为能够夺走克里米亚的电力供应?那我也能夺走你的电力供应!’”

无论停电事故的真正意图是什么,这都是有史以来第一次针对电力网络开展的攻击行为。Prykarpattyaoblenergo公司的运维人员当时可能根本不知道屏幕上四处乱动的光标究竟意味着什么。但如今全世界的运维人员都得到了一项明确的警告——目前这种攻击持续时间不长且危害并不严重,但下一次可就不一定了。

E安全/文 转载请注明E安全

新朋友请关注「E安全」

微信搜公众号EAQapp

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存