查看原文
其他

乌克兰停电事件带来的未来网络战启示

2016-03-11 E安全 E安全

要了解网络在未来武装冲突当中的具体作用,我们不妨参考2015年12月23日发生的乌克兰能源部门受袭事件。这绝不是一起单纯的名人邮件泄露或者个人信息被窃案例,而是一次高度协调且复杂度可观的网络物理攻击。作为直接后果,饱受战争蹂躏的乌克兰在隆科时节有超过22.5万民众失去电力供应。

就在本周四,美国大区电力供应商之一南方电力公司负责人指出,美国能够有效应对攻击活动。不过必须承认,同样或者类似的事件仍然有可能在出现之后,引发进一步冲突升级。

那么攻击背后到底是谁在作祟?此次事件对于未来网络战又意味着什么?


暗网中的威胁力量

网络安全研究员们指出,此次乌克兰电网攻击的执行者应该为经验丰富的俄罗斯黑客集团。来自美国的iSight Parterns还直接将矛头指向了盘踞于莫斯科的Sandworm。不过目前正有多个俄罗斯黑客团体针对乌克兰与西方世界发起攻击;其一为Cyberberkut,此前曾经宣称为German媒体与NATO站点遭遇的攻击事件负责。

那么,这些团体是如何运作的?历史告诉我们:隐藏与低调是其主要特征。还记得2014年,当时一股未表明任何身份且无国家作为支持的力量开始向东乌克兰发起攻击。这支被称为“green men”的队伍在身份泄露之前迅速完成了入侵,而后全身而退。

相较于更为广泛的背景形势,乌克兰停电事件的具体实现手段反而不太重要了:网络军力的持续提升已经成为各个国家的关注重点,但其难于溯源的属性又可令各国政府在攻击完成后推诿称自己并不知情。

Strategic Cyber Ventures公司CEO Tom Kellermann在最新于华盛顿特区召开的Suits and Spooks大会上对此做出了以下陈述:

“全世界,特别是东方地区存在着显著的个人崇拜状况。世界上最出色的黑客们当数那些来自前苏联的俄语系黑帽社区,他们也正是个人崇拜的受益者。这种个人崇拜让他们获得了更为自由的施展空间,包括获准在超过17年当中对美国金融机构进行入侵,并以此换取俄罗斯政府的关照甚至是特权。而他们的攻击目标则经历了由爱沙尼亚到南奥塞梯再到乌克兰的逐步迁移。”

他同时表示,亲俄黑客集团利用了总计14项零日漏洞——也就是利用尚未为人所知的安全漏洞对受害者进行侵袭。零日漏洞是黑客军备库中最为强大的且高效的攻击手段——然而一旦被投入使用,防御方就会立即着手应对及修复。事实上,亲俄黑客集团似乎越来越倾向于以此为手段证明对西方目标的打击力度——而非打击效果。

“这些有史以来最强大的网络罪犯们曾经拿出大部分时间针对美国金融业,但如今他们开始每天投入四到五个小时利用SSH或者(安全shell)密钥与其它同类手法”攻击乌克兰与西方政治对手,Kellerman解释称。

但外界几乎不可能证明其中是否存在俄罗斯官方的直接参与。


电力中断

不过虽然没有直接证据,但俄罗斯方面夺取电网控制权的动机依然存在。俄罗斯与乌克兰双方一直在争夺后者东部的电力供给权。如果普京能够为克里米亚提供等同于当前乌克兰供应量的1100兆瓦电力,则将有效巩固其在这一半岛地区的统治地位。而要实现这项目标,俄罗斯方面必须要动摇当地民众对乌克兰供电能力的信心。

但如果阅读由美国方面整理出的乌克兰停电分析报告,大家可能会认为此次网络攻击与停电事故皆为随机发生。

事实上,职能实体与中央服务已经成为乌克兰东部地区的全新冲突战线。就在乌克兰停电事件发生前一个月,争议地区克里米亚半岛就曾遭遇到类似的状况。乌克兰警方将责任归咎于破坏分子。据称其中俄罗斯总统普京的嫌疑很大,因为其此前曾承诺将电力输送线路架入该区域;俄罗斯各报纸则报道称,德国西门子公司已经与俄罗斯政府签订了一项在克里米亚当地塞瓦斯托波尔与辛菲罗波尔两座城市建行燃气轮机发电设施的协议——不过西门子方面驳斥了这一说法,并表示在此地建设工厂将有违国际制裁决定。然而就在声明发出后不久,西门子成为乌克兰停电事件中的主要受攻击目标之一。



BlackEnergy

此次攻击活动中所使用的主要恶意软件名为BlackEnergy,美国国土安全部最近发布的事件分析报告表示。不过具体来讲,这更像是一辆用于运输武器的车辆——而非武器本身。

这份报告解释称:“各家企业也报告称其受到了BlackEnergy恶意软件的感染;不过我们尚无法确定该恶意软件是否在此次网络攻击中发挥了作用。该恶意软件据称通过钓鱼邮件中的恶意微软Office附件传播。据推测,BlackEnergy可能被入围初始接入向量以获取合法凭证。

Arbor Networks公司的Jose Naaro最初于2007年发现了BlackEnergy的存在。他将其描述为一款“基于Web并由俄罗斯黑客秘密使用的分布式服务僵尸工具”。

当时,大家可以花40美元买到该软件,Tripwire公司的David Meltzer回忆称。

“我们将其视为一款专门指向工业环境的复杂恶意软件。它包含恶意软件中的一切常见特征。”

BlackEnergy目前仍然存在,因为它采用一套模块化架构,允许人们为其编写不同的插件。就本身而言,BlackEnergy并不属于那些有能力引发停电事故的软件。然而,它可以接入经过精心设计的额外软件包实现这一目标;在这种情况下,它能够对西门子电厂控制设备发起猛烈进攻。

BlackEnergy插件中还存在着“某种类似于应用程序商店的机制”,Meltzer表示。“从这个角度看,尽管BlackEnergy恶意软件本身并不复杂,但其插件库则非常丰富且功能强大。”


同样的BlackEnergy攻击是否会引发其它大规模停电?

答案是否定的,兼任电力分组协调委员会(简称ESCC)成员的美国南方电力公司CEO Tom Fanning认为。

他在最近召开的New America大会上解释道:“回顾2014年,我们意识到BlackEnergy确实存在,并开始采取措施保护自身……当事件发生时,我们的首要反应就是确保自身具备态势感知能力。”

不过,近来针对美国电力设施的攻击活动在复杂程度上甚至高于乌克兰遭遇的状况。Fanning指的是2015年3月太平洋燃气与电力变电站遭遇的攻击。入侵者试图对其进行物理突入,而后夺取控制权、收集数据并接管SCADA系统,旨在实现功能破坏。

“事实上,恶意人士将目标设为SCADA以及控制系统设备的作法有着重要意义,”Chertoff集团执行长Mark Weatherford在接受采访时表示。

不过Fanning强调称,此次攻击并没有造成任何“轻微后果。”尽管攻击者得以利用系统中的安全漏洞影响到变电站或者SCADA系统工作,“我们仍然能够以手动方式运作整套系统,”他指出。


潜在场景

然而,与乌克兰停电事件类似的其它攻击活动还是有可能造成巨大困扰。下面来看其潜在可能性。

“该次事件中的全部三家相关企业都指出,攻击者利用KillDisk恶意软件清除了其系统中的部分数据,”国土安全部报告提到。“KillDisk恶意软件能够对目标系统上的选定文件进行清除,同时破坏其主引导记录,从而导致系统无法正常运作。”

相较于BlackEnergy,KillDisk的介入令安全人士们更为紧张。

Meltzer表示:“作为BlackEnergy中的一款控制插件,KillDisk能够实现系统数据清除。这意味着攻击者可以在其帮助下实现有计划的系统瘫痪侵袭。为什么他们要制造如此可怕的破坏性后果?部分原因可能是希望阻止安全人员的事后追溯。不过更大的可能性在于,他们本来就计划借此实现设施破坏。”

这种自毁式工具的使用正是区分间谍活动——几乎每个国家都会执行一定程度的间谍行为——与可能需要以国际制裁手段或者美国网络司令部出面解决的严重破坏行为的重要依据。

回想当初的索尼黑客活动:攻击者不仅夺取了数据,还对现有系统加以摧毁。

“这正是索尼黑客事件中最令我们担忧的因素所在,即其破坏性特征。这绝不只是那种针对好莱坞高管层面巨额财富的不满所引发的恶作剧式行为,”曾主持众议院情报委员会的密歇根州共和党人Mike Rogers指出。“真正的游戏规则改变者会将资产破坏作为首要目标——而我们的电网也面临着同样的威胁。”

如果立法者决定将使用KillDisk等软件的行为视作战争活动,那么军方恐怕将身陷艰难的境地。网络司令部负责人、海军上将Mike Rogers曾经表示,进攻性网络武器将在未来以一定比例参与到国际冲突限定规则当中。

不过如果大家尚不清楚自己的敌人是谁,那么自然也就无法要求其遵循国际法准则。

E安全/文 转载请注明E安全

E安全——全球网络安全新传媒


E安全微信公众号: EAQapp

E安全新浪微博:EAQapp

E安全PC站点

E安全客服&投稿邮箱:eapp@easyaq.com

点击下方”阅读原文“即可下载安装E安全app


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存