乌克兰电网遭到前所未有的黑客入侵的细节

2015年12月23日，星期三，15：30，乌克兰西部伊凡诺-弗兰科夫斯克（Ivano-Frankivsk）的居民正在为工作日的结束做准备，并将沿着寒冷的冬季街道回家。在Prikarpatyeoblenergo企业的控制中心（该公司在该地区分配电力），调度员几乎完成了他们的轮班。但是，当其中一位在完成工作之前整理桌子上的纸张时，计算机屏幕上的光标移到了不适当的位置。

调度员看到光标有目的地移动到区域变电站的断路器控制按钮，然后按下按钮打开带有开关的窗口，使变电站脱机。屏幕上出现一个对话框，要求您确认操作，并且当光标滑入该窗口并按下确认按钮时，操作员看上去很傻。他知道，在城市以外的某个地方，成千上万的房屋刚刚失散。

调度员抓住鼠标，拼命试图重新获得控制权，但光标没有响应他的操作。他独立地朝另一个开关方向移动，控制面板中的当前授权会话意外中断。调度员试图仓促再次登录，但他的密码不再起作用：攻击者对其进行了更改。他只能无奈地看着屏幕，一个未知的屏幕接一个变电站的开关，一个接一个地关闭，停止了其中约30个的工作。他们并没有就此停止。除了Prikarpatyeoblenergo外，还有两个能源企业同时遭到攻击，因此，残疾人变电站的总数是原来的两倍，有23万居民没有电。好像还不够，黑客仍然关闭了备用电源，使三个控制中心中的两个控制中心的调度员失去了光明。

辉煌的计划

黑客入侵了乌克兰的能源企业，这是世界上第一个经证实的断电案例，并不是一些机会主义者测试他们的能力。对该事件进行了彻底的调查，结果揭示了新的细节：攻击背后有合格且机密的战略家，他们精心策划了几个月的攻击，首先进行侦察，检查受害者的网络，获取控制者的凭据，然后对三个攻击发起同步攻击控制中心。

“这是一次出色的攻击，”协助调查的罗伯特·M·李（Robert M. Lee）说，他曾经是美国空军的网络运营官，并且是专门保护关键基础设施的公司Dragos Security的联合创始人。 -谈到黑客的复杂性，许多人总是把重点放在所使用的恶意软件上。但是对我而言，攻击的复杂性在于后勤水平和行动计划……以及在此期间发生的事情。而且确实有精美的作品。”

乌克兰立即表示俄罗斯是袭击的发起者。罗伯特·李（Robert Lee）避开了打电话给某个国家的电话，但他说，行动的各个阶段之间存在明显的区别，这意味着不同级别的黑客在不同阶段的参与。因此，攻击可能是在几个完全不同的参与者（也许是网络犯罪分子和州规模的参与者）的合作下进行的。

他说：“这必须是一支资金雄厚，训练有素的团队……但这不一定是州一级的。”也许起初，低级网络罪犯获得了对网络的初始访问权，然后将控制权移交给了经验更丰富的联邦级黑客。

专家说，以一种方式或另一种方式成功攻击能源网络引发了美国此类网络安全性的问题。出乎意料的是，乌克兰管理系统比美国系统受到更好的保护，因为它们被防火墙与商业网络很好地隔离了。但是，即使这样的保护措施还是不够的，因为员工可以远程登录SCADA（监控和数据采集）网络，并从该网络控制电气子系统。同时，缺少两因素身份验证，因此攻击者知道了调度员的凭据，即可控制变电站控制系统。

乌克兰城市的电力供应在一到六个小时内就恢复了。但美国最近的一份报告称，在袭击发生两个多月后，控制中心仍未恢复正常运行。来自乌克兰和美国的计算机安全专家表示，黑客已替换了16个变电站的关键设备上的固件，现在他们不响应中心的命令。有电，但必须在手动模式下控制开关。

攻击美国电网时，一切都会更加悲惨地结束，因为许多美国变电站没有冗余的手动控制系统，也就是说，如果遭到破坏，恢复能源供应将更加困难。

攻击时间表

包括FBI和美国国土安全部在内的几个美国机构已协助乌克兰调查了这次袭击。顾问包括专家Robert Lee和Michael J. Assante，他们俩都在Washington SANS Institute教授计算机安全课程。乌克兰的能源公司拥有先进的防火墙和系统日志系统，可以帮助重现事件的时间顺序，这让他们感到惊喜。在调查对商业公司的攻击时，这种情况很少见；在攻击关键基础设施时，这种情况很少见。

根据参与调查的Lee和乌克兰专家的说法，攻击的准备工作始于去年春天，针对网络能源公司和系统管理员的网络钓鱼活动。乌克兰有24个地区，每个地区11-27个地区。每个地区都有自己的公司来管理网络中的电力分配。带有Word文档附件的网络钓鱼电子邮件已发送给其中三个公司的员工。当您启动文档时，会出现一个窗口，要求您启用宏。如果用户这样做，则会在计算机上安装一个名为BlackEnergy3的程序，该程序带有用于远程访问的后门。 Word中的漏洞和通过宏安装特洛伊木马程序是一种古老的技术，最近又再次流行。

网络钓鱼攻击仅允许入侵者访问公司网络。要进入SCADA系统，您必须突破防火墙。几个月来，黑客进行了情报。他们获得了Windows域控制器的访问权限，该域控制器控制用户域的交互，包括用户登录过程，身份验证和目录搜索。他们从那里获取员工的凭据，包括VPN服务提供的密码，员工远程使用这些密码访问SCADA系统。入侵SCADA后，黑客开始慢慢准备攻击。

首先，他们更改了不间断电源（UPS）的配置，后者在两个控制中心提供备用电源，以便同时关闭该国居民和企业调度员的电灯。李说，这是一项令人发指的侵略性举动，对于能源公司而言，这可以理解为“大操蛋”。

每个公司都有自己的配电网络，在情报阶段，黑客仔细检查了这些网络。然后，他们编写了变电站中串行到以太网转换器的原始固件版本。这些设备将命令从控制中心传输到变电站。转换器的故障使变电站无法进行远程控制。 “针对特定操作的恶意固件更新永远不会罗伯特·李（Robert Lee）评论说，以前没用过。 -就攻击而言，这非常酷。我的意思是，真的很棒。”

顺便说一下，在美国的变电站中也使用了相同的串行到以太网转换器模型。

配备了恶意固件的黑客已准备好发起攻击。

在12月23日大约15:30，他们使用他人的密码通过VPN登录到SCADA系统，并发送了命令以禁用预配置的UPS。然后，他们开始打开对变电站的访问，并逐个关闭它们。在此之前，在能源公司的呼叫中心组织了一次TDoS电话攻击，以使消费者无法通过并提前通知调度员停电的情况。罗伯特·李（Robert Lee）指出，电话DDoS显示出高度的复杂性，并为整个操作进行了规划。他说：“资深的黑客所做的就是齐心协力，甚至考虑到不太可能的情况，以确保消除所有可能的问题。”

进行TDoS给攻击者更多的时间。在调度员注意到计算机上发生异常活动之前，某些变电站将已经关闭。专家说，如果俄罗斯出于政治动机对乌克兰发动攻击，DDoS电话将执行另一项任务：破坏公民对乌克兰能源公司和政府的信任。

关闭变电站的电源后，黑客更换了那里安装的串行到以太网转换器上的固件。操作完成后，他们启动了一种名为KillDisk的恶意软件，以擦除控制中心中计算机上的文件和MBR。

攻击开始90分钟后，即下午5点左右，已安装的逻辑炸弹在计时器上启动了KillDisk。正是在这个时候，Prikarpatyeoblenergo在其网站上发布了一条消息，其中包含有关市民已经知道的信息：几个地区的电力已切断，并且正在对故障原因进行调查。

半小时后，当KillDisk完成其肮脏的业务时，Prikarpatyeoblenergo发布了另一条消息：黑客攻击被称为失败的原因。

...

乌克兰组织停电的幕后黑手，是同类攻击中的第一枪，这为世界各地的电网安全创造了不祥的先例。Prikarpatyeoblenergo调度程序可能不知道是什么原因导致了当天鼠标光标在屏幕上闪烁。但是现在，全世界所有负责能源供应的人都收到了警告。该攻击相对较短且较软。以下可能并非如此。

Source: https://habr.com/ru/post/zh-CN391439/