1
| 本文作者: 李勤 | 2017-01-10 17:29 |
有一種痛只有烏克蘭才懂。
2015年12月23日,烏克蘭首都基輔部分地區(qū)和烏克蘭西部的 140 萬名居民突然遭遇了一次大停電,這次停電的罪魁禍?zhǔn)资呛诳汀?/p>
沒想到,時隔一年,2016年12月17日,烏克蘭的國家電力部門又遭遇了一次黑客襲擊,這次停電了 30 分鐘。
據(jù)外媒CBS報道,黑客向電力公司的員工發(fā)送了一封帶附件的郵件,將登錄證書偷到手后,又奪取了電站系統(tǒng)的控制權(quán),切斷了近 60 個變電站的斷路器。
為了處理停電問題,發(fā)電站的工程師必須將發(fā)電站的設(shè)備切換到手動模式。相關(guān)技術(shù)人員花了 30 分鐘左右的時間讓發(fā)電設(shè)備的功率恢復(fù)正常,徹底解決所有問題則用了 75 分鐘。
雷鋒網(wǎng)曾對此次斷電事件進(jìn)行過報道,并發(fā)現(xiàn)同款惡意軟件已經(jīng)流入美國,引起了美國主流媒體的恐慌。
在2015年對烏克蘭電站的攻擊中,黑客利用欺騙手段讓電力公司員工下載了一款惡意軟件“ BlackEnergy ”。1月10日,綠盟科技安全團(tuán)隊告訴雷鋒網(wǎng),通過對2016年烏克蘭電站第二次被黑的惡意代碼進(jìn)行分析,發(fā)現(xiàn)本次事件的攻擊者是 Telebots 組織,該組織與 BlackEnergy 組織有關(guān),而電腦安全軟件公司的博客文章提到,攻擊烏克蘭電網(wǎng)并致其停運(yùn)的 BlackEnergy 組織現(xiàn)如今似已更名TeleBots,目前該黑客組織已經(jīng)將目標(biāo)轉(zhuǎn)移到了烏克蘭銀行。
也就是, Telebots 組織和 BlackEnergy 組織“換湯不換藥”。幾乎被同一元兇黑完一次又一次,這種烏克蘭的憂傷你可懂?
雖然,綠盟科技的專家 W 在接受雷鋒網(wǎng)的采訪時稱,Telebots 組織攻擊烏克蘭電站的目的暫時并不明確,但攻擊手法卻被摸得一清二楚,同時尚未在我國發(fā)現(xiàn)同款惡意軟件。
電力系統(tǒng)是由發(fā)電、輸電、變電、配電和用電連接成的統(tǒng)一整體,在整個電力系統(tǒng)中,幾乎每個環(huán)節(jié)都依賴計算機(jī)技術(shù)的支撐,比如各級電網(wǎng)調(diào)度控制中心的計算機(jī)系統(tǒng)、變電站的計算機(jī)監(jiān)控系統(tǒng)等。
國內(nèi)變電站是完全隔離的局域網(wǎng),不與公網(wǎng)連接,將變電站內(nèi)的區(qū)域通過防火墻分隔成了安全I(xiàn)區(qū)和安全I(xiàn)I區(qū),即實(shí)時生產(chǎn)控制區(qū),可以直接控制電力一次設(shè)備的運(yùn)行,非實(shí)時控制區(qū),如電能量計量系統(tǒng),故障錄波管理系統(tǒng)等;而國外的變電站可以通過辦公區(qū)以 VPN 等形式接入變電站的內(nèi)部網(wǎng)絡(luò)。
這意味著,國外變電站的內(nèi)部網(wǎng)絡(luò)可以通過辦公區(qū)域入侵,雖然,W 告訴雷鋒網(wǎng),并不清楚 2016 年12月下旬烏克蘭電站被黑最初是通過哪一級員工的電腦,但是作案兇器已經(jīng)找到,并分析了入侵路徑。
【作案兇器——惡意軟件詳細(xì)樣本】
【入侵路徑】
W告訴雷鋒網(wǎng),與一般 APT 攻擊類似的是,攻擊者先通過給電站員工發(fā)送帶有惡意附件的的郵件,員工下載后,釋放了相關(guān)文件,從電站網(wǎng)絡(luò)的服務(wù)器下載了后門文件。
狡詐的是,這個被下載了的xls文件通過運(yùn)行文檔中的宏代碼,將可執(zhí)行文件釋放到臨時目錄“C:\User\xxx\AppData\Local\Temp”,并命名為“explorer.exe”,假裝自己是一個無害文件來隱藏自身。
實(shí)際上,這個文件是一個下載器,可以從電站網(wǎng)絡(luò)從服務(wù)器下載文件并執(zhí)行。同時,值得注意的是,這個域名是一個允許任何人下載和上傳文件的托管網(wǎng)站——也要怪電站安全做得不好,把大門敞開面向了黑客!
上述步驟創(chuàng)建了一個 lsass.exe 文件,這個文件就是用來接收服務(wù)器的指令,執(zhí)行不同的功能。此刻,攻擊者進(jìn)“門”后只有一個目標(biāo),獲取管理員權(quán)限,控制電站系統(tǒng)。
于是,隨后如上圖所示,惡意軟件進(jìn)行了一系列操作,部署額外后門防止被網(wǎng)絡(luò)發(fā)現(xiàn),收集瀏覽器和網(wǎng)絡(luò)數(shù)據(jù)中的關(guān)鍵賬號和密碼信息……,并不斷將竊取到的信息發(fā)送到自己的郵箱。
在一步步提升自己的權(quán)限后,KillDisk 組件具備了關(guān)機(jī)和修改系統(tǒng)目錄文件的權(quán)限,最后成功地清除系統(tǒng)扇區(qū),刪除重要的系統(tǒng)文件,對特定類型的文件內(nèi)容進(jìn)行覆蓋,結(jié)束系統(tǒng)進(jìn)程,致使系統(tǒng)崩潰,無法修復(fù)。
綠盟科技研究團(tuán)隊指出,通過代碼跟蹤分析,發(fā)現(xiàn)了最后關(guān)鍵一步的 KillDisk 組件的一個變種,可以運(yùn)行在多種平臺上。
這意味著,攻擊者利用該變種文件不僅可以攻擊 Windows 上位機(jī)控制的 SCADA/ICS 系統(tǒng),也可以攻擊Linux上位機(jī)控制的SCADA/ICS系統(tǒng)。目前該變種文件已經(jīng)被作為 Linux 系統(tǒng)的勒索軟件,勒索贖金為222個比特幣,折合人民幣1729875元(現(xiàn)在比特幣漲價了,可能會更多吧!)。
綠盟科技研究團(tuán)隊還分析出,發(fā)現(xiàn)該惡意軟件樣本會連接兩個 IP 地址:荷蘭和俄羅斯。這意味著俄羅斯黑客的罪名要坐實(shí)了?
攻擊者的攻擊路徑會被反推獲取攻擊者的信息嗎?W認(rèn)為,攻擊者一般都是通過暗網(wǎng),經(jīng)過了跳轉(zhuǎn),當(dāng)然,如果追蹤技術(shù)高超,是可以找到最終的幕后黑手的。
這意味著,實(shí)際 IP 是否真的是這兩個,就要看你相不相信俄羅斯了。
注:文中關(guān)鍵圖片由綠盟科技威脅情報與網(wǎng)絡(luò)安全實(shí)驗(yàn)室提供。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
