具有高度破坏性的恶意软件至少感染了乌克兰三个区域的电力设施,导致成百上千用户家中断电。
2015年12月23日发生的这起“断电”事件导致乌克兰伊万诺弗兰科夫斯克地区的一半区域停电。本周一,iSIGHT Partners 安全公司的研究人员表示,他们已经获取了相关恶意软件的样本。研究人员表示,该恶意软件导致了“破坏性事件”,进而引发断电。如果得到较终确认,该事件将是世界首例由恶意软件而引发的大规模断电事件。
iSIGHT 公司网络间谍情报部门负责人约翰·赫尔特奎斯特(John Hultquist)称:“这是一个里程碑。我们之前在石油等能源行业内的确发现过针对性的破坏性事件,但从未观测到停电。一直以来的担忧终于变成了现实。”
来自反病毒厂商 ESET 公司的研究人员已经证实,乌克兰多家电厂被某种名为 BlackEnergy(黑色能量) 的恶意软件感染。这一恶意软件包较初出现于2007年,并在两年前得到过一次更新,增加了使受感染计算机无法启动等能力。ESET 公司近期发现,该恶意软件新近又得到了一次更新,增加了名为 KillDisk 的组件。该组件可以毁灭计算机硬盘的某些零件,可能还包括了破坏工业控制系统的新功能。 这一较新版本的黑色能量还增加了附带安全 Shell 功能的后门,可以让黑客持续访问受感染设备。
“完全有能力”
如今,黑色能量主要被用于对目标新闻机构、电力公司和其它工业集团从事间谍活动。尽管 ESET 公司并未明确肯定黑色能量导致了本次停电事故,但公司认为该恶意软件毫无疑问具备这种能力。 ESET 研究人员在周一发布的博客文章中写道:
我们对乌克兰几家供电机构中发现的 KillDisk 恶意软件进行了分析,结果表明,它们有能力制造断电。然而,也存在其它的解释。黑色能量后门和较近发现的 SSH 后门能够让攻击者远程访问受感染系统。在成功渗透入关键系统之后,从理论上来讲,黑客不论使用两个后门中的哪一个,都能够将系统关闭。与此同时,KillDisk 破坏性木马可以让恢复更加困难。在过去的一年中,黑色能量背后的团队已经逐渐加强了其破坏能力。去年年底,乌克兰计算机应急响应小组发布报告称,黑色能量附带的 KillDisk 模块在感染媒体机构之后能够导致视频和其它内容永久丢失。ESET 报告,感染乌克兰供电系统的 KillDisk 搭载了类似的功能,但针对更小体积的数据集。与此同时,KillDisk 在升级中增加了破坏两个计算机进程的能力,包括一个工业控制系统所使用的与串口转以太网连接监视器有关的远程管理平台。
2014年,黑色能量背后的团队攻击了北约机构、乌克兰和波兰政府机构,以及欧洲的各大敏感行业。iSIGHT 公司将该团队称为 Sandworm(沙虫),它被认为与俄罗斯有联系。
ESET 表示,黑客使用嵌入 Office 文档中的宏陷阱感染了乌克兰电力部门。向数百万人提供电力的工业控制系统人员会倒在如此简单的社会工程学手段面前,如果情况属实,这将十分令人痛心。目前人们还担心,恶意软件导致的断电可能会导致大量平民的死亡。
乌克兰当局正在调查涉嫌这起事件的黑客。
尽管沙特较大的天然气生产商在2012年也发生了破坏性恶意软件感染时事件,但没有影响生产的相关报道。iSIGHT 发布的报告代表着一个新时代的来临,它对工业化国家的影响随处可见。