信息來源:cnBeta
據(jù)外媒報道,2016年12月,俄羅斯黑客在烏克蘭國家電網(wǎng)運營商Ukrenergo的網(wǎng)絡(luò)中植入了一種被稱為Industroyer或Crash Override的惡意軟件。而在圣誕節(jié)前兩天的午夜,網(wǎng)絡(luò)犯罪分子利用已經(jīng)部署好的惡意軟件破壞了烏克蘭首都基輔附近一個傳輸站的所有斷路器,從而導(dǎo)致首都大部分地區(qū)斷電。
雖然這起網(wǎng)絡(luò)攻擊引發(fā)了一系列問題,但卻沒有給出明確的答案:首先,這次網(wǎng)絡(luò)攻擊的真正動機是什么?第二,為什么一個惡意軟件能夠如此強大,它可以瞬間讓整個城市進入黑暗之中,而一個小時后工廠的工人只需要打開斷路器就能修復(fù)?
對此,來自工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全公司Dragos的研究人員近日發(fā)布了一篇論文,他們在文中重建了2016年烏克蘭斷電的時間線,希望能為尋找上述問題的答案獲得一些啟發(fā)。在這篇題為《CRASHOVERRIDE: Reassessing the 2016 Ukraine Electric Power Event as a Protection-Focused Attack》的文章中,研究團隊梳理了惡意軟件的代碼并重新訪問了Ukrenergo的網(wǎng)絡(luò)日志。他們得出的結(jié)論是,有證據(jù)表明,黑客的意圖是造成更大強度的物理破壞,如果沒有幾個月也會將停電時間延長到數(shù)周甚至可能危及到現(xiàn)場工廠工人的生命。如果是這樣的話,那么攻擊基輔電力供應(yīng)的惡意軟件將只是另外兩種惡意代碼--Stuxnet和Triton的其中一種,這兩種曾分別攻擊過伊朗和沙特阿拉伯。
然而問題的實質(zhì)則在于細節(jié)。文章作者、Dragos分析師Joe Slowik表示:“雖然這最終是一個直接的破壞性事件,但部署的工具和使用它們的順序強烈表明,攻擊者想要做的不僅僅是把燈關(guān)掉幾個小時。他們試圖創(chuàng)造條件,對目標(biāo)傳輸站造成物理破壞?!?
更具體一點說,Joe和Dragos給出的理論暗示了黑客利用Crash Override發(fā)送自動脈沖來觸發(fā)斷路器進而利用由西門子生產(chǎn)的Siprotec保護繼電器的一個已知漏洞。盡管在2015年發(fā)布了一個修復(fù)上述漏洞的安全補丁,但烏克蘭的許多電網(wǎng)站并沒有更新它們的系統(tǒng),這就位黑客們打開了一扇門,他們只需要發(fā)出一個電脈沖就能讓安全繼電器在休眠狀態(tài)下失效。
為了搞明白這點,Dragos搜索了Ukrenergo的日志并將它所發(fā)現(xiàn)的信息的原始線程聯(lián)系起來。他們第一次重構(gòu)了黑客的操作方式,具體如下:首先,黑客部署了Crash Override;然后他們用它來處罰基輔北部一個電網(wǎng)站的每一個斷路器進而導(dǎo)致大規(guī)模停電;一個小時后,他們發(fā)射了一個雨刷組件從而使發(fā)射站的電腦無法工作并阻止了對發(fā)射站數(shù)字系統(tǒng)的監(jiān)控;死后,黑客破壞了該電站的4個Siprotec保護繼電器,從而使電站容易受到危險高頻率電力的影響。
事實上,這一事件并沒有持續(xù)到最后。雖然Dragos無法找到黑客計劃失敗的原因,但它懷疑黑客的某些網(wǎng)絡(luò)配置錯誤或現(xiàn)場工作人員在發(fā)現(xiàn)正在休眠的Siprotec繼電器時做出的快速反應(yīng)可能是挽救局面的原因。