乌克兰电站两次扑街专家详解攻击凶器生存

乌克兰电站两次扑街，专家详解攻击凶器

有一种痛只有乌克兰才懂。

2015年12月23日，乌克兰首都基辅部分地区和乌克兰西部的 140 万名居民突然遭遇了一次大停电，这次停电的罪魁祸首是黑客。

没想到，时隔一年，2016年12月17日，乌克兰的国家电力部门又遭遇了一次黑客袭击，这次停电了 30 分钟。

据外媒CBS报道，黑客向电力公司的员工发送了一封带附件的邮件，将登录证书偷到手后，又夺取了电站系统的控制权，切断了近 60 个变电站的断路器。

为了处理停电问题，发电站的工程师必须将发电站的设备切换到手动模式。相关技术人员花了 30 分钟左右的时间让发电设备的功率恢复正常，彻底解决所有问题则用了 75 分钟。

元凶是 BlackEnergy 的马甲曾对此次断电事件进行过报道，并发现同款恶意软件已经流入美国，引起了美国主流媒体的恐慌。

在2015年对乌克兰电站的攻击中，黑客利用欺骗手段让电力公司员工下载了一款恶意软件“ BlackEnergy ”。1月10日，绿盟科技安全团队告诉，通过对2016年乌克兰电站第二次被黑的恶意代码进行分析，发现本次事件的攻击者是 Telebots 组织，该组织与 BlackEnergy 组织有关，而电脑安全软件公司的博客文章提到，攻击乌克兰电并致其停运的 BlackEnergy 组织现如今似已更名TeleBots，目前该黑客组织已经将目标转移到了乌克兰银行。

也就是，Telebots 组织和BlackEnergy 组织“换汤不换药”。几乎被同一元凶黑完一次又一次，这种乌克兰的忧伤你可懂？

一气呵成地入侵虽然，绿盟科技的专家 W 在接受(公众号：)的采访时称，Telebots 组织攻击乌克兰电站的目的暂时并不明确，但攻击手法却被摸得一清二楚，同时尚未在我国发现同款恶意软件。

电力系统是由发电、输电、变电、配电和用电连接成的统一整体，在整个电力系统中，几乎每个环节都依赖计算机技术的支撑，比如各级电调度控制中心的计算机系统、变电站的计算机监控系统等

。

国内变电站是完全隔离的局域，不与公连接，将变电站内的区域通过防火墙分隔成了安全I区和安全II区，即实时生产控制区，可以直接控制电力一次设备的运行，非实时控制区，如电能量计量系统，故障录波管理系统等；而国外的变电站可以通过办公区以 VPN 等形式接入变电站的内部络。

这意味着，国外变电站的内部络可以通过办公区域入侵，虽然，W 告诉，并不清楚 2016 年12月下旬乌克兰电站被黑最初是通过哪一级员工的电脑，但是作案凶器已经找到，并分析了入侵路径。

【作案凶器——恶意软件详细样本】

【入侵路径】

W告诉，与一般 APT 攻击类似的是，攻击者先通过给电站员工发送带有恶意附件的的邮件，员工下载后，释放了相关文件，从电站络的服务器下载了后门文件。

狡诈的是，这个被下载了的xls文件通过运行文档中的宏代码，将可执行文件释放到临时目录“C:\User\xxx\AppData\Local\Temp”，并命名为“e”，假装自己是一个无害文件来隐藏自身。

实际上，这个文件是一个下载器，可以从电站络从服务器下载文件并执行。同时，值得注意的是，这个域名是一个允许任何人下载和上传文件的托管站——也要怪电站安全做得不好，把大门敞开面向了黑客！

上述步骤创建了一个e 文件，这个文件就是用来接收服务器的指令，执行不同的功能。此刻，攻击者进“门”后只有一个目标，获取管理员权限，控制电站系统。

于是，随后如上图所示，恶意软件进行了一系列操作，部署额外后门防止被络发现，收集浏览器和络数据中的关键账号和密码信息……，并不断将窃取到的信息发送到自己的邮箱。

在一步步提升自己的权限后，KillDisk 组件具备了关机和修改系统目录文件的权限，最后成功地清除系统扇区，删除重要的系统文件，对特定类型的文件内容进行覆盖，结束系统进程，致使系统崩溃，无法修复。

绿盟科技研究团队指出，通过代码跟踪分析，发现了最后关键一步的 KillDisk 组件的一个变种，可以运行在多种平台上。

这意味着，攻击者利用该变种文件不仅可以攻击 Windows 上位机控制的 SCADA/ICS 系统，也可以攻击Linux上位机控制的SCADA/ICS系统。目前该变种文件已经被作为 Linux 系统的勒索软件，勒索赎金为222个比特币，折合人民币元（现在比特币涨价了，可能会更多吧！）。

绿盟科技研究团队还分析出，发现该恶意软件样本会连接两个 IP 地址：荷兰和俄罗斯。这意味着俄罗斯黑客的罪名要坐实了？

攻击者的攻击路径会被反推获取攻击者的信息吗？W认为，攻击者一般都是通过暗，经过了跳转，当然，如果追踪技术高超，是可以找到最终的幕后黑手的。

这意味着，实际 IP 是否真的是这两个，就要看你相不相信俄罗斯了。

注：文中关键图片由绿盟科技威胁情报与络安全实验室提供。

原创文章，未经授权禁止转载。详情见转载须知。