2、清除型恶意软件是否直接导致此次停电事故的发生?
目前尚不清楚的是,此次攻击活动到底是如何实现本次乌克兰黑客入侵的,我们又该如何将其与停电状况联系起来。就目前而言,CERT-UA已经确认了一份来自 安全厂商ESET发布的报告,认定BlackEnergy确实安装了名为KillDisk——即Disakil——的清除型恶意软件,其设计目标在于删除 计算机中磁盘驱动器内的数据并导致系统无法重启。
“我仍在努力将这些碎片拼凑起来以还原真相,”都柏林信息安全顾问Brian Honan表示,他同时也是欧洲警察机构Europol协会的网络安全顾问。“我们已经拿到了一份停电事故分析报告外加被计算机病毒所感染之系统的分析报 告,但我们仍然无法将二者联系起来——至少拿不出能够公布的确切结论。换句话来说,一款清除型病毒怎么会令基础设施无法正常供电?我们还没能找到答案。”
3、攻击者是否混合了多种攻击技术?
NERC前任CSO Michael Assante于今年1月5号写给SANS协会的通报当中指出,攻击者很有可能将多种技术加以混合,从而导致并扩大了此次破坏活动。“文件清除型恶意软件 本身当然能够破坏掉SCADA系统,但单凭其自身还不足以引发电力中断,”他解释称。“我们猜测,攻击者可能手动接入了某台受感染设备,例如HMI——即 人机界面——并下达了断闸指令,”但这一切都只是理论层面的观点。“清除型恶意软件随后还被用于阻止SCADA系统恢复,从而进一步扩大电力中断,不过受 到影响的乌克兰电力设施仍然有能力以手动方式恢复运行,包括重新闭合电闸并为系统供电。”
