侵权投诉
订阅
纠错
加入自媒体

乌克兰电网攻击纪实:能力逆天的狡猾黑客

2016-03-08 00:05
退思
关注

  随着攻击者断开断路器并导致一系列变电站下线,他们正开始对部分变电站串行到以太网转换器中的固件进行覆盖,旨在利用恶意固件替换合法固件。这种影响是不可逆转且不可恢复的,意味着各转换器无法接收正常命令。“一旦对固件进行覆写,运维人员将无法对其进行恢复。大家必须身处现场并以手动方式进行合闸操作,”Lee解释称。“利用固件篡改破坏这些网关意味着我们只剩下惟一一种修复方式——重新安装新的设备并将其接入业务网络。”

  在完成上述操作之后,他们接下来利用一款名为KillDisk的恶意软件对运营电站中的文件进行清除,从而中断正常操作。KillDisk能够对系统文件进行清除或者覆盖,这意味着计算机将立刻陷入崩溃。另外,由于其同时会覆盖各主引导记录,因此受感染计算机亦无法进行重启。

  KillDisk中的部分组件必须进行手动设置,不过Lee表示攻击者利用两种方式通过逻辑炸弹在90分钟之内自动启动KillDisk并实施攻击。具体时间点约在下午5:00,而同一时间Prykarpattyaoblenergo在其官方网站上发布了一项公告,这也是客户们第一次得到正式通知、了解到部分服务区的电力已然中断——工作人员们正在积极处理并寻找问题根源。半小时之后,KillDisk已经完成了恶意活动。这时运维人员也基本弄清了造成停电的原因,Prykarpattyaoblenergo公司随即发布了第二项公告,提醒客户们此次停电为黑客所为。

  俄罗斯是否为幕后黑手?

  乌克兰情报机构已经完全肯定地指出,俄罗斯是此次攻击的幕后黑手,不过其目前尚未给出任何确切证据来支持这项结论。不过考虑到两个国家之间紧张的政治局势,这样的判断也算在情理之中。E安全/文自俄罗斯于2014年吞并克里米亚地区以来,克里米亚当局一直在对当地乌克兰能源企业进行国有化转制,这使得乌克兰与俄罗斯双方彼此严重敌视。而且在乌克兰遭遇12月停电事故之前,亲乌克兰活动人士已经开始对克里米亚地区的变电站发动实体袭击,由此导致200万克里米亚居民无电可用的结果令俄罗斯及其当地海军基地方面相当恼火。考虑到这一点,我们有理由相信俄罗斯打算通过此次攻击对乌克兰进行的克里米亚变电站袭击进行报复。

  不过攻击乌克兰各供电公司的恶意人士们至少在克里米亚变电站遭受攻击的六个月之前就已经开始运作此事。因此虽然克里米亚攻击有可能属于此次停电的导火索之一,但很明显这并不属于一时起意而进行的反击活动,Lee表示。Lee同时指出,取证证据表明,攻击者当初可能并不打算令乌克兰陷入停电——但克里米亚变电站攻击事件令他们转变了恶意行为思路。

  “着眼于数据,看起来攻击者们已经完成了既定情报收集与其它规划目标,”他指出。“因此我们推断其已经结束了整项行动。”

  他同时推测,如果俄罗斯方面真的是此次攻击的幕后组织者,那么其动机可能与当前推断完全不同。举例来说,最近乌克兰议会一直在探讨一项法案,将乌克兰境内的各私有电力企业进行国有化转制。其中部分企业由一位同普京关系密切的俄罗斯金融寡头所持有。Lee表示,此次攻击可能是为了向乌克兰当局发出警告,即不要插手影响这些私营供电企业。

  这项分析结论也得到攻击活动中其它细节信息的支持:事实上,黑客们完全可以在此基础上造成更大的破坏,特别是实体破坏后果,从而保证此次停电在严重程度与时间长度方面进一步提升。美国政府曾于2007年公布过一项攻击,其中黑客们完全可以利用21行恶意代码对电力系统进行远程破坏。

  Lee表示,关于乌克兰电网攻击的一切事实都证明,此次事件主要是为了表达态度或者说传递信息。“‘我们要引起重视,同时要传递一条信息,’”攻击者的行为可以这样进行解读。“这是一种很符合黑手党作法的思路。‘呵呵,你们以为能够夺走克里米亚的电力供应?那我也能夺走你的电力供应!’”

  无论停电事故的真正意图是什么,这都是有史以来第一次针对电力网络开展的攻击行为。Prykarpattyaoblenergo公司的运维人员当时可能根本不知道屏幕上四处乱动的光标究竟意味着什么。但如今全世界的运维人员都得到了一项明确的警告——目前这种攻击持续时间不长且危害并不严重,但下一次可就不一定了。

<上一页  1  2  3  
声明: 本文由入驻维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号