这是一个历史性时刻:恶意软件首次使得破坏重要的公共基础设施(即电力网络)成为可能。这件事于12月23日在乌克兰发生。位于乌克兰西部的伊万诺-弗兰科夫斯克地区的 140 万居民中有近一半在停电后的几个小时内发现自己处于黑暗之中。此次停电的原因是“未经授权的人员(……)干预远程控制系统”技术人员必须恢复供电“手动”电力运营商 Prikarpattiaoblenergo 解释道。“自动系统停止工作,计算机关闭”,也证实了法新社的消息来源。
该运营商并不是唯一的目标:根据能够获得该恶意软件副本的 iSight Partners 安全专家的说法,至少还有另外两名运营商受到了感染。“我们已经观察到针对能源部门的破坏性定向攻击(……),但从未发生过停电。这就是我们长期以来一直担心的灾难场景””,iSight 网络间谍活动负责人 John Hultquist 在《技术艺术。
Eset 发行商的分析师也对该恶意软件进行了剖析。据他们称,这是“BlackEnergy”的一个版本,“BlackEnergy”是一种模块化特洛伊木马,过去曾在乌克兰和波兰的网络间谍活动中多次使用。在本例中,恶意软件通过以下方式渗透到电力运营商中:“一次重大网络钓鱼活动,其中包含受感染的 Excel 文档”埃塞特告诉法新社。
几种假设
BlackEnergy 木马包含一个名为 KillDisk 的有效负载。该恶意软件不仅能够随意删除受感染系统上的文件,而且还包含破坏工业系统的功能。事实上,KillDisk 被编程为擦除和替换 komut.exe 或 sec_service.exe 等可执行文件,这些可执行文件将链接到工业控制软件。
但这只是可能的假设之一。 Eset还在电力运营商的服务器上发现了后门。黑客成功安装了 Dropbear SSH 的修改版本,该软件允许以管理员权限远程访问计算机。类似的特征,也存在于三黑气马身上。“在使用其中一种恶意软件成功渗透关键系统后,从理论上讲,攻击者完全有能力将其关闭。在这种情况下,破坏性的 KillDisk 恶意软件只会使服务的恢复变得更加复杂”,在 a 中强调 Eset博客文章。
无论如何,BlackEnergy 黑客将在工业黑客史上为自己赢得一席之地。
