029-89503350
全部建站入门设计理念制作教程SEO优化维护托管行业聚焦公司动态
上一篇 下一篇

乌克兰电站两次遭黑客袭击,专家详解攻击凶器

<行业聚焦>     编辑:西安网站建设公司    DATE:2017-01-10

有一种痛只有乌克兰才懂

       2015年12月23日,乌克兰首都基辅部分地区和乌克兰西部的 140 万名居民突然遭遇了一次大停电,这次停电的罪魁祸首是黑客。

       没想到,时隔一年,今年12月17日,乌克兰的国家电力部门又遭遇了一次黑客袭击,这次停电了 30 分钟。

       据外媒CBS报道,黑客向电力公司的员工发送了一封带附件的邮件,将登录证书偷到手后,又夺取了电站系统的控制权,切断了近 60 个变电站的断路器。

       为了处理停电问题,发电站的工程师必须将发电站的设备切换到手动模式。相关技术人员花了 30 分钟左右的时间让发电设备的功率恢复正常,彻底解决所有问题则用了 75 分钟。

西安做网站哪里好

元凶是 BlackEnergy 的马甲
       麦小编发现同款恶意软件已经流入美国,引起了美国主流媒体的恐慌。

       在2015年对乌克兰电站的攻击中,黑客利用欺骗手段让电力公司员工下载了一款恶意软件“ BlackEnergy ”。1月10日,绿盟科技安全团队告诉小编(公众号:小编),通过对2016年乌克兰电站第二次被黑的恶意代码进行分析,发现本次事件的攻击者是 Telebots 组织,该组织与 BlackEnergy 组织有关,而电脑安全软件公司的博客文章提到,攻击乌克兰电网并致其停运的 BlackEnergy 组织现如今似已更名TeleBots,目前该黑客组织已经将目标转移到了乌克兰银行。

       也就是,Telebots 组织和 BlackEnergy 组织“换汤不换药”。几乎被同一元凶黑完一次又一次,这种乌克兰的忧伤你可懂?

一气呵成地入侵
       虽然,绿盟科技的专家 W 在接受小编的采访时称,Telebots 组织攻击乌克兰电站的目的暂时并不明确,但攻击手法却被摸得一清二楚,同时尚未在我国发现同款恶意软件。

       电力系统是由发电、输电、变电、配电和用电连接成的统一整体,在整个电力系统中,几乎每个环节都依赖计算机技术的支撑,比如各级电网调度控制中心的计算机系统、变电站的计算机监控系统等。

       国内变电站是完全隔离的局域网,不与公网连接,将变电站内的区域通过防火墙分隔成了安全I区和安全II区,即实时生产控制区,可以直接控制电力一次设备的运行,非实时控制区,如电能量计量系统,故障录波管理系统等;而国外的变电站可以通过办公区以 VPN 等形式接入变电站的内部网络。

       这意味着,国外变电站的内部网络可以通过办公区域入侵,虽然,W 告诉小编,并不清楚 2016 年12月下旬乌克兰电站被黑最初是通过哪一级员工的电脑,但是作案凶器已经找到,并分析了入侵路径。

乌克兰电站两次遭黑客袭击,专家详解攻击凶器


【作案凶器——恶意软件详细样本】
乌克兰电站两次遭黑客袭击,专家详解攻击凶器
【入侵路径】

       与一般 APT 攻击类似的是,攻击者先通过给电站员工发送带有恶意附件的的邮件,员工下载后,释放了相关文件,从电站网络的服务器下载了后门文件。

       狡诈的是,这个被下载了的xls文件通过运行文档中的宏代码,将可执行文件释放到临时目录“C:\User\xxx\AppData\Local\Temp”,并命名为“explorer.exe”,假装自己是一个无害文件来隐藏自身。

       实际上,这个文件是一个下载器,可以从电站网络从服务器下载文件并执行。同时,值得注意的是,这个域名是一个允许任何人下载和上传文件的托管网站——也要怪电站安全做得不好,把大门敞开面向了黑客!

       上述步骤创建了一个 lsass.exe 文件,这个文件就是用来接收服务器的指令,执行不同的功能。此刻,攻击者进“门”后只有一个目标,获取管理员权限,控制电站系统。

       于是,随后如上图所示,恶意软件进行了一系列操作,部署额外后门防止被网络发现,收集浏览器和网络数据中的关键账号和密码信息……,并不断将窃取到的信息发送到自己的邮箱。

       在一步步提升自己的权限后,KillDisk 组件具备了关机和修改系统目录文件的权限,最后成功地清除系统扇区,删除重要的系统文件,对特定类型的文件内容进行覆盖,结束系统进程,致使系统崩溃,无法修复。

       有研究团队指出,通过代码跟踪分析,发现了最后关键一步的 KillDisk 组件的一个变种,可以运行在多种平台上。

       这意味着,攻击者利用该变种文件不仅可以攻击 Windows 上位机控制的 SCADA/ICS 系统,也可以攻击Linux上位机控制的SCADA/ICS系统。目前该变种文件已经被作为 Linux 系统的勒索软件,勒索赎金为222个比特币,折合人民币1729875元(现在比特币涨价了,可能会更多吧!)。

       有研究团队还分析出,发现该恶意软件样本会连接两个 IP 地址:荷兰和俄罗斯。这意味着俄罗斯黑客的罪名要坐实了?

       攻击者的攻击路径会被反推获取攻击者的信息吗?W认为,攻击者一般都是通过暗网,经过了跳转,当然,如果追踪技术高超,是可以找到最终的幕后黑手的。

       这意味着,实际 IP 是否真的是这两个,就要看你相不相信俄罗斯了。

最专注的西安网站建设公司_行业领先的西安网站制作公司_您首选的西安做网站公司

专注西安网站建设_领航西安网站制作_西安做网站首选麦欧科技

扫一扫微信二维码   关注麦欧大管家   更有好礼相送

相关热点资讯
COPYRIGHT © 2012-2018 西安麦欧软件科技有限公司 ALL RIGHTS RESERVED  地址:西安市 · 高新区 · 唐延南路 · 逸翠园II期 i都会 · 3幢1162
电话:029-89503350 / 17792573095  陕ICP备15001814号  麦欧官网所有资料仅供参考 · 不作为签约和履约的承诺  法律顾问 · 陕西臻理律师事务所