调查报告披露乌克兰电网遭黑客攻击细节
作者: 日期:2016年03月26日 阅:8,713

去年12月份乌克兰电网被黑客攻击瘫痪,造成22.5万人的供电中断数小时。据供电信息分享与分析中心(E-ISAC)上周发布的报告显示,攻击者具备高度的组织化并且拥有丰富的资源支持,超过27家变电站的系统在这次攻击中被破坏。

640.webp (5)

攻击者早在六个月前就控制了乌克兰3家供电公司网络的一些系统,直到事发。更为甚者,当这3家公司正在努力恢复电力供应时,破坏性的恶意程序删除了大量的数据,以阻碍供电公司对事件的调查。据E-ISAC报告的参与方,安全公司 SANS Institute 的三名调查人员表示,这种行为与另外几起恶性入侵十分相似,如沙特的石油与天燃气巨头 Saudi Aramco 和 RasGas,还有索尼影业。

攻击者使用了多种方法以渗透这些能源企业的网络系统,如鱼叉式钓鱼攻击,携有恶意程序的微软办公文档以及臭名昭著的恶意软件“黑暗能量3”,还专门开发了能够关闭供电公司下属变电站的定制化恶意软件。不仅如此,乌克兰电力分配公司Kyivoblenergo的呼叫中心也成为攻击者的目标,令身受断电之苦的受害者很难上报自己的断电情况。

针对民用关键基础设施并造成物理破坏的网络攻击已不止一起,本月初发布的《威瑞森数据泄露摘要》披露,一家水厂在2015年被入侵,攻击者访问了这家水厂的控制系统,把下水道中的污水导入饮用水中,从而增加了水中的氯含量。

乌克兰政府因此事谴责俄罗斯当局,但E-ISAC报告并没有把此次攻击与任何组织和国家联系起来。E-ISAC只是称攻击者具备“高度组织化并且拥有丰富的资源支持”,并且使用了民族国家日益常见的攻击手法——KillDisk(杀死硬盘),删除受害者硬盘上的数据。但调查人员反驳了关于此次断电“是攻击破坏而带来的副作用”的说法。

尽管SCADA网络环境会受到攻击的影响,但黑暗能量3和杀死硬盘均不包含能引起断电的组件。此次断电事故,就是敌人直接操作控制系统和供电公司的软件造成的。

乌克兰这3家电力公司的供电系统有很多漏洞,如各种SCADA硬件的部署信息可以从互联网上得到,VPN通道没有实行双因子验证,另外高度的自动化电力系统控制也是这3家公司成为攻击目标的原因之一。

在长达六个月的时间里,攻击者收集了各种登录证书,并在一台又一台的计算机上提升权限,然后转向电网的控制系统,入侵SCADA系统的配电所。在这个阶段,攻击者勘查了受害者的网络,以判断该系统使用的工控硬件型号。

报告建议,关键基础设施机构要培训终端用户的信息安全意识,提醒类似白名单这样的技术并不足以抵御网络攻击。网络分段和目录划分,在未来还需要很长的普及过程。公司或机构,还应该评估VPN的访问权限,并只允许关键链接通过DMZ(非军事化区)。

基础设施防护者必须准备好面对高度针对性的、直接的打击,包括利用防护者自己的工控系统来攻击这些基础设施。没有什么能证明乌克兰电网的攻击事件,只是针对乌克兰。

安全公司Tripwire一份最近的统计调查表明,几乎所有的高管人员都认为,网络攻击可以对系统造成物理破坏。

E-ISAC报告完整版下载地址:

https://www.esisac.com/api/documents/4199/publicdownload

相关阅读

终成现实 黑客攻击导致电力设施被破坏
黑客是这样让乌克兰70万户家庭断电的
搞掉电网的“黑暗能量”新增磁盘擦除和SSH后门工具

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章