信息來源:cnBeta
據(jù)外媒報(bào)道�,2016年12月��,俄羅斯黑客在烏克蘭國家電網(wǎng)運(yùn)營商Ukrenergo的網(wǎng)絡(luò)中植入了一種被稱為Industroyer或Crash Override的惡意軟件��。而在圣誕節(jié)前兩天的午夜���,網(wǎng)絡(luò)犯罪分子利用已經(jīng)部署好的惡意軟件破壞了烏克蘭首都基輔附近一個(gè)傳輸站的所有斷路器�,從而導(dǎo)致首都大部分地區(qū)斷電��。
雖然這起網(wǎng)絡(luò)攻擊引發(fā)了一系列問題����,但卻沒有給出明確的答案:首先,這次網(wǎng)絡(luò)攻擊的真正動機(jī)是什么���?第二�,為什么一個(gè)惡意軟件能夠如此強(qiáng)大,它可以瞬間讓整個(gè)城市進(jìn)入黑暗之中��,而一個(gè)小時(shí)后工廠的工人只需要打開斷路器就能修復(fù)���?
對此��,來自工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全公司Dragos的研究人員近日發(fā)布了一篇論文�����,他們在文中重建了2016年烏克蘭斷電的時(shí)間線��,希望能為尋找上述問題的答案獲得一些啟發(fā)����。在這篇題為《CRASHOVERRIDE: Reassessing the 2016 Ukraine Electric Power Event as a Protection-Focused Attack》的文章中�����,研究團(tuán)隊(duì)梳理了惡意軟件的代碼并重新訪問了Ukrenergo的網(wǎng)絡(luò)日志����。他們得出的結(jié)論是,有證據(jù)表明���,黑客的意圖是造成更大強(qiáng)度的物理破壞��,如果沒有幾個(gè)月也會將停電時(shí)間延長到數(shù)周甚至可能危及到現(xiàn)場工廠工人的生命���。如果是這樣的話,那么攻擊基輔電力供應(yīng)的惡意軟件將只是另外兩種惡意代碼--Stuxnet和Triton的其中一種�����,這兩種曾分別攻擊過伊朗和沙特阿拉伯�����。
然而問題的實(shí)質(zhì)則在于細(xì)節(jié)���。文章作者���、Dragos分析師Joe Slowik表示:“雖然這最終是一個(gè)直接的破壞性事件,但部署的工具和使用它們的順序強(qiáng)烈表明���,攻擊者想要做的不僅僅是把燈關(guān)掉幾個(gè)小時(shí)��。他們試圖創(chuàng)造條件���,對目標(biāo)傳輸站造成物理破壞��?��!?
更具體一點(diǎn)說,Joe和Dragos給出的理論暗示了黑客利用Crash Override發(fā)送自動脈沖來觸發(fā)斷路器進(jìn)而利用由西門子生產(chǎn)的Siprotec保護(hù)繼電器的一個(gè)已知漏洞���。盡管在2015年發(fā)布了一個(gè)修復(fù)上述漏洞的安全補(bǔ)丁����,但烏克蘭的許多電網(wǎng)站并沒有更新它們的系統(tǒng)���,這就位黑客們打開了一扇門���,他們只需要發(fā)出一個(gè)電脈沖就能讓安全繼電器在休眠狀態(tài)下失效。
為了搞明白這點(diǎn)�,Dragos搜索了Ukrenergo的日志并將它所發(fā)現(xiàn)的信息的原始線程聯(lián)系起來。他們第一次重構(gòu)了黑客的操作方式��,具體如下:首先���,黑客部署了Crash Override�����;然后他們用它來處罰基輔北部一個(gè)電網(wǎng)站的每一個(gè)斷路器進(jìn)而導(dǎo)致大規(guī)模停電�;一個(gè)小時(shí)后�����,他們發(fā)射了一個(gè)雨刷組件從而使發(fā)射站的電腦無法工作并阻止了對發(fā)射站數(shù)字系統(tǒng)的監(jiān)控����;死后,黑客破壞了該電站的4個(gè)Siprotec保護(hù)繼電器���,從而使電站容易受到危險(xiǎn)高頻率電力的影響��。
事實(shí)上�����,這一事件并沒有持續(xù)到最后�。雖然Dragos無法找到黑客計(jì)劃失敗的原因���,但它懷疑黑客的某些網(wǎng)絡(luò)配置錯(cuò)誤或現(xiàn)場工作人員在發(fā)現(xiàn)正在休眠的Siprotec繼電器時(shí)做出的快速反應(yīng)可能是挽救局面的原因�����。
