具有高度破壞性的惡意軟件至少感染了烏克蘭三個區域的電力設施,導致成百上千用戶家中斷電。
上個月23日發生的這起“斷電”事件導致烏克蘭伊萬諾弗蘭科夫斯克地區的一半區域停電。本周一,iSIGHT Partners 安全公司的研究人員表示,他們已經獲取了相關惡意軟件的樣本。研究人員表示,該惡意軟件導致了“破壞性事件”,進而引發斷電。如果得到最終確認,該事件將是世界首例由惡意軟件而引發的大規模斷電事件。
iSIGHT 公司網絡間諜情報部門負責人約翰·赫爾特奎斯特(John Hultquist)稱:“這是一個里程碑。我們之前在石油等能源行業內的確發現過針對性的破壞性事件,但從未觀測到停電。一直以來的擔憂終于變成了現實。”
來自反病毒廠商 ESET 公司的研究人員已經證實,烏克蘭多家電廠被某種名為 BlackEnergy(黑色能量) 的惡意軟件感染。這一惡意軟件包最初出現于2007年,并在兩年前得到過一次更新,增加了使受感染計算機無法啟動等能力。ESET 公司近期發現,該惡意軟件新近又得到了一次更新,增加了名為 KillDisk 的組件。該組件可以毀滅計算機硬盤的某些零件,可能還包括了破壞工業控制系統的新功能。 這一最新版本的黑色能量還增加了附帶安全 Shell 功能的后門,可以讓黑客持續訪問受感染設備。
“完全有能力”
如今,黑色能量主要被用于對目標新聞機構、電力公司和其它工業集團從事間諜活動。盡管 ESET 公司并未明確肯定黑色能量導致了本次停電事故,但公司認為該惡意軟件毫無疑問具備這種能力。 ESET 研究人員在周一發布的博客文章中寫道:
我們對烏克蘭幾家供電機構中發現的 KillDisk 惡意軟件進行了分析,結果表明,它們有能力制造斷電。然而,也存在其它的解釋。黑色能量后門和最近發現的 SSH 后門能夠讓攻擊者遠程訪問受感染系統。在成功滲透入關鍵系統之后,從理論上來講,黑客不論使用兩個后門中的哪一個,都能夠將系統關閉。與此同時,KillDisk 破壞性木馬可以讓恢復更加困難。
在過去的一年中,黑色能量背后的團隊已經逐漸加強了其破壞能力。去年年底,烏克蘭計算機應急響應小組發布報告稱,黑色能量附帶的 KillDisk 模塊在感染媒體機構之后能夠導致視頻和其它內容永久丟失。ESET 報告,感染烏克蘭供電系統的 KillDisk 搭載了類似的功能,但針對更小體積的數據集。與此同時,KillDisk 在升級中增加了破壞兩個計算機進程的能力,包括一個工業控制系統所使用的與串口轉以太網連接監視器有關的遠程管理平臺。
2014年,黑色能量背后的團隊攻擊了北約機構、烏克蘭和波蘭政府機構,以及歐洲的各大敏感行業。iSIGHT 公司將該團隊稱為 Sandworm(沙蟲),它被認為與俄羅斯有聯系。
ESET 表示,黑客使用嵌入 Office 文檔中的宏陷阱感染了烏克蘭電力部門。向數百萬人提供電力的工業控制系統人員會倒在如此簡單的社會工程學手段面前,如果情況屬實,這將十分令人痛心。目前人們還擔心,惡意軟件導致的斷電可能會導致大量平民的死亡。
烏克蘭當局正在調查涉嫌這起事件的黑客。
盡管沙特最大的天然氣生產商在2012年也發生了破壞性惡意軟件感染時事件,但沒有影響生產的相關報道。iSIGHT 發布的報告代表著一個新時代的來臨,它對工業化國家的影響隨處可見。
京公網安備 11010502049343號