侵权投诉
订阅
纠错
加入自媒体

乌克兰电网攻击纪实:能力逆天的狡猾黑客

2016-03-08 00:05
退思
关注

  攻击活动时间线

  美国的众多机构正在帮助乌克兰方面开展攻击活动调查,其中包括FBI与DHS(美国国土安全部)。Lee与Michael J. Assante则从属于参与其中的计算机安全专家,二位在华盛顿特区的SANS研究所负责计算机安全教学工作,并计划发布一份与其当前分析工作相关的报告。根据他们的说法,调查人员惊喜地发现,乌克兰配电公司拥有庞大的防火墙日志与系统日志存量,足以帮助他们重构事件原貌——这种储备与强大的日志记录能力在任何企业网络当中都相当罕见,更遑论关键性基础设施环境下了。

  美国也在利用同样的串行到以太网转换模式支撑配电网络体系。

  根据Lee与一位协助调查的乌克兰安全专家所言,此次攻击始于去年春季针对IT人员与系统管理员的鱼叉式钓鱼攻击——而这类群体负责的正是乌克兰国内各供电企业的网络管理工作。乌克兰供电网络分为24个区,每个区涵盖11到27个省份,各每个供电区归属于不同的配电公司。该钓鱼活动针对三家供电企业的员工发送附带恶意word文档的电子邮件。一旦员工点击该附件,系统会弹出对话框以要求其启用文档宏。如果点击确定,其将调用名为BlackEnergy3的程序——其各类变种已经广泛感染欧洲及美国境内的其它系统——从而感染当前设备并为攻击者开启后门。这种方法值得关注,因为目前大多数入侵活动都在利用软件程序编码错误或者安全漏洞。但在钓鱼攻击当中,攻击者利用微软Word程序中的既有功能。使用宏功能的作法早在上世纪九十年代就已经出现,而如今这种老式手段又开始卷土重来。

  在最初的侵入活动中,攻击者仅仅触及到了企业网络。不过他们仍然能够接入SCADA网络并控制电力网络。相关供电企业明智地利用防火墙对这些网络加以隔离,意味着攻击者面前只有两种可行选项:要么寻求防火墙中可资利用的安全漏洞,要么搜索其它侵入途径——他们选择了后者。

  在几个月时间当中,他们进行了广泛的网络侦察、探索与映射工作,并最终获得了访问Windows域控制器以管理网络内用户账户的能力。以此为基础,他们收集到相关员工登录凭证以及部分工作用VPN以远程登录至该SCADA网络。一旦进入到SCADA网络当中,恶意人士们就开始逐步实施后续攻击计划。

  让客户身陷黑暗还不够,他们希望令运维人员同样目不视物

  首先,他们对负责为两座控制中心提供后备电力的不间断电源(或者简称UPS)进行了重新配置。事实上,让用户们身陷黑暗还远远不够——攻击者们打算在停电时让运维人员同样无电可用。这是一种非常大胆且激进的作法,甚至可以说是对供电企业的一种赤裸裸的挑衅,Lee解释称。

  每家供电企业在其网络中使用的分发管理系统都有所不同,而在侦察阶段,攻击者对其分别进行了认真研究。在此之后,他们编写的恶意固件在十几座变电站中成功通过串行到以太网转换机制取代了合法固件(该转换机制负责处理来自SCADA网络并用于控制变电站系统的命令)。“这种针对特定目的的恶意固件更新(指向工业控制系统)此前从未出现过,”Lee表示。“从攻击的角度来看,这绝对是种天才之举。我的意思是,他们虽然目的邪恶,但手段确实非常高明。”

  在完成了恶意固件安装之后,攻击者们也就做好了组织恶意行为的前期准备。

  2015年12月23号下午3:30左右,攻击者们通过被劫持的VPN接入到SCADA网络,并发送命令以禁用已经被其重新配置的UPS系统。在此之后,他们开始断开断路器。不过着手破坏之前,他们还针对客户呼叫中心发起了一轮电话拒绝服务攻击,旨在防止客户向运维人员报告断电状况。TDoS攻击与DDoS攻击非常相似,同样是向Web服务器发送大量数量。在这种情况下,服务中心的电话系统被大量似乎来自莫斯科的伪造呼叫所占用,这使得合法主叫方被淹没在通话请求当中。Lee指出E安全/文,此举证明了攻击者行动的复杂性与规划水平。网络犯罪分子——甚至是部分国家支持下的恶意集团——都不具备如此长远与完善的攻击设计思路。“真正的高水平攻击者会将自己的精力投入到某些看似可能性极低的场景之下,从而确保自身能够覆盖一切潜在状况,”他解释称。

  此举当然给了攻击者们更多时间以执行恶意任务,因为在这段时间内运维人员的设备已经被劫持,因此无法确切发现已经出现的异常状况——一部分变电站停止运转。不过如果这属于俄罗斯针对乌克兰开展的政策性攻击,那么类似的TDoS手段可能是为了实现另一项目标,Lee与Assante指出——即激起乌克兰客户的怒火并削弱乌克兰电力企业与政府在民众中的受信程度。

<上一页  1  2  3  下一页>  
声明: 本文由入驻维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号