這是一個歷史性時刻:惡意軟體首次使得破壞重要的公共基礎設施(即電力網路)成為可能。這件事於12月23日在烏克蘭發生。位於烏克蘭西部的伊万諾-弗蘭科夫斯克地區的 140 萬居民中,近一半發現自己在停電後的幾個小時內處於黑暗之中。此次停電的原因是“未經授權的人員(…)幹預遠端控制系統”技術人員必須恢復供電“手動”電力運營商 Prikarpattiaoblenergo 解釋道。“自動系統停止工作,電腦關機”,也證實了法新社的消息來源。
閱讀:歐洲能源領域的大規模網路間諜活動
該運營商並不是唯一的目標:根據能夠獲得該惡意軟體副本的 iSight Partners 安全專家的說法,至少還有另外兩名運營商受到了感染。「我們已經觀察到針對能源部門的破壞性定向攻擊(…),但從未發生過停電。這就是我們長期以來一直擔心的災難場景””,iSight 網路間諜活動負責人 John Hultquist 在《技術藝術。
Eset 發行商的分析師也對該惡意軟體進行了剖析。據他們稱,這是「BlackEnergy」的一個版本,「BlackEnergy」是一種模組化特洛伊木馬,過去曾在烏克蘭和波蘭的網路間諜活動中多次使用。在本例中,惡意軟體透過以下方式滲透到電力運營商:“一次重大網路釣魚活動,其中包含受感染的 Excel 文件”埃塞特告訴法新社。
幾種假設
BlackEnergy 木馬包含一個名為 KillDisk 的有效負載。該惡意軟體不僅能夠隨意刪除受感染系統上的文件,而且還包含破壞工業系統的功能。事實上,KillDisk 被編程為擦除和替換 komut.exe 或 sec_service.exe 等可執行文件,這些可執行檔將連結到工業控制軟體。
但這只是可能的假設之一。 Eset還在電力運營商的伺服器上發現了後門。駭客成功安裝了 Dropbear SSH 的修改版本,該軟體允許以管理員權限遠端存取電腦。類似的特徵,也存在於三黑氣馬身上。「在使用其中一種惡意軟體成功滲透關鍵系統後,從理論上講,攻擊者完全有能力將其關閉。在這種情況下,破壞性的 KillDisk 惡意軟體只會使服務的恢復變得更加複雜”,在 a 中強調 Eset部落格文章。
無論如何,BlackEnergy 駭客將成功地在工業駭客史上為自己佔有一席之地。
