北极星智能电网在线讯:1、乌克兰停电事件网络攻击过程及电网薄弱环节分析
近两年来, 中国提出了能源互联网的发展战略, 已开展了许多相关基础性研究。能源互联网可认为是由传统电力系统(一次系统与二次系统)、分布式能源、通信网络等混合组成的具有互动性的电网物理信息系统, 其中信息安全是保证能源互联网健康发展的重要基石。
2015年12月23日, 乌克兰电网遭受的停电事件展示了黑客攻击电网的实际威力。根据乌克兰国家安全局事后分析, 它是由一起有组织的黑客攻击行为造成的。初步查明, 黑客采用多种网络手段对乌克兰国家电网进行了攻击, 如植入了被称为“BlackEnergy”的恶意软件, 导致发电厂跳闸断电, 并且, 乌克兰地区多家电力公司同时遭受了拒绝式服务攻击, 使各大电力公司的呼叫支持中心不堪重负, 阻断电力运营商以远程控制方式对受感染系统实施的应急工作。国外信息安全专家John Hultquist称, BlackEnergy之前先后曾攻陷过美国和欧洲的电力供应商, 使这些欧美国家在攻击事件中受到了不同程度的损害。事实上, 在这次乌克兰网络攻击停电事件之前, 国外已有多起遭到恶意攻击的报道。
1.1乌克兰停电事件中网络攻击过程
对于此次事件主要攻击手段, 到目前为止的报道是, 乌克兰计算机紧急响应小组(CERT-UA)已确认收到来自安全厂商ESET给出的报告, 认定确实安装了名为KillDisk(即Disakil)的清除型恶意软件, 其设计目标在于删除计算机中磁盘驱动器内的数据, 并导致系统无法重启, 但是乌克兰方面还无法解释受到KillDisk恶意软件攻击与发电站跳闸停电之间的直接关系。
中国金山安全反病毒实验室第一时间从各渠道采集到乌克兰停电事件中的BlackEnergy样本, 并做了相应的分析报告(参见http://www.admin5.com/article/20160114/642816.shtml)。该报告展示了BlackEnergy入侵目标主机的过程。首先黑客直接或通过傀儡机收集被攻击用户的邮箱, 定向发送含恶意文件的邮件, 无安全防范意识的用户打开了带宏病毒的文档, 该文档伪装为微软 USB MDM Driver 驱动文件, 但缺乏数字签名, 用户运行了恶意安装程序, 它释放和加载Rootkit内核驱动, Rootkit使用某线程注入系统关键进程svchost.exe, 后者开启本地网络端口, 以HTTPS协议主动连接外网的主控服务器, 黑客在该连接成功后发指令下载黑客工具或插件, 这样用户机器被渗透攻击成功, 这个攻击过程见图1中的红线部分(攻击路径①)。然后黑客远程控制实施了后续具体攻击, 通过网络传播病毒, 删除计算机上的文件使其瘫痪, 并通过网络穿透各种通信协议, 从某台工控机向断路器发出了跳闸命令(如何做到这点尚无具体报道), 并且黑客在攻击过程中清除了所经过计算机上的痕迹, 使事后较难追踪到其攻击路线。
另一种黑客运用的攻击手段, 可能是黑客事先在几个月前就通过某种方式在被攻击对象的局域网中植入了木马病毒, 比如通过发送带有木马病毒的邮件, 或者通过工程师的调试电脑把病毒下载到某台计算机上, 时隔几个月后该病毒启动并与外界取得连接, 实施后续攻击, 见图1中攻击路线②。
相关报道中称乌克兰停电发生后, 乌克兰多家电力公司同样遭受了拒绝式服务攻击, 即图1中攻击路线③, 导致这些电力公司的呼叫支持中心的网络流量激增, 破坏了正常和应急通信, 电力运营商不能以远程控制方式对受感染系统进行远程应急救援。
据国外相关报道, 这次起主导攻击作用的BlackEnergy病毒, 经过几年来的发展, 逐渐加入了Rootkit、插件、远程代码执行和数据采集等功能, 可由黑客来选择特制插件进行攻击, 能够提供支持代理服务器、绕过用户账户认证以及64位Windows操作系统的签名驱动等技术。
由以上攻击过程分析可见, 它的确是一起有预谋有组织的网络攻击行为, 并且其攻击者不仅仅包括那些黑客(电脑高手), 可能还包括熟悉电力业务的人员, 因为此次网络攻击成功地完成了跳闸断电, 这个过程的成功实施需要相关电力知识、经验及技术。