记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

乌克兰电网遭遇黑客攻击:九个有待解答的问题

2016-01-16 00:15

截至目前,与乌克兰电力供应商PRYKARPATTYAOBLENERGO上月遭受黑客攻击相关的报道可谓铺天盖地,然而仍有许多重要问题始终未能得到解答。谁该为此负责?该恶意软件是否直接导致了为时三小时的停电事故?其它电力供应商又是否面临着同样的攻击活动风险?

乌克兰计算机紧急响应小组——即CERT-UA——已经向信息安全媒体集团确认称,其目前正在针对此次停电进行调查,并发现黑客在此期间获得了对发电系统的 远程接入能力。该小组同时确认称,BlackEnergy间谍木马与KillDisk恶意软件都在被入侵能源供应商的受感染系统当中出现。与之相伴的则是 2015年12月23号发生的持续三个小时的停电事故,其间多座变电站处于离线状态,并直接导致约乌克兰国内西伊万诺至弗兰科夫斯克地区的约140万个家 庭无电可用。乌克兰官方将此次事件归咎于俄罗斯,但目前还没有任何确切证据能够证明这项指控。

多位网络安全专家表示,他们在阅读了各乌克兰黑客攻击相关报道之后整理出了以下几个关键性疑问:

1、谁对此次事件最感震惊?

网络安全专家多年来一直在警告称,控制监督与数据收集——简称SCADA——系统在提供远程控制与工业环境监控能力的同时,往往在安全性方面表现得相当薄弱,而且其接入互联网以及易于突破的特性也将令黑客们趋之若鹜。

5

事实上,在2004年发布的一份美国国会研究服务报告(专门面向美国国会)当中,工业控制系统网络安全专家Joe Weiss提出了多项警告,指出整个行业迫切需要制定并实施“防火墙、入侵检测以及加密等技术方案”,从而对控制系统进行保护。此类系统被用于众多工业环 境,包括能源生产、化工车间、火车网络乃至飞机内部等等。

然而在十几年之后,Weiss提出的这些议案依然没能得到有效执行;整个行业也在继续构建、部署并依赖于那些仍旧易被攻击者们所远程突破的系统方案。“真正的问题在于,”他强调称,“为什么人们在工业基础设施领域总是疏于防备网络威胁?”

将 远程控制能力纳入此类系统也没能有效提升安全性水平,美国国土安全部网络安全前副部长、北美电力可靠性集团(简称NERC)CSO兼数据安全企业 vArmour公司首席网络安全战略师Mark Weatherford指出。“仍然有大量控制系统接入到互联网当中,”他表示。“这是一种便捷的实现办法,也确实能够带来可观的经济收益,但从安全角度 来看却是种愚蠢的行为。”他敦促各位采用互联网接入型ICS方案的运营人员“至少应当对攻击路径进行监控,从而了解还有哪些被遗漏的危险因素”,同时对如 何在遭遇攻击时“抢先一步”做出响应进行规划。

2、清除型恶意软件是否直接导致此次停电事故的发生?

目 前尚不清楚的是,此次攻击活动到底是如何实现本次乌克兰黑客入侵的,我们又该如何将其与停电状况联系起来。就目前而言,CERT-UA已经确认了一份来自 安全厂商ESET发布的报告,认定BlackEnergy确实安装了名为KillDisk——即Disakil——的清除型恶意软件,其设计目标在于删除 计算机中磁盘驱动器内的数据并导致系统无法重启。

“我 仍在努力将这些碎片拼凑起来以还原真相,”都柏林信息安全顾问Brian Honan表示,他同时也是欧洲警察机构Europol协会的网络安全顾问。“我们已经拿到了一份停电事故分析报告外加被计算机病毒所感染之系统的分析报 告,但我们仍然无法将二者联系起来——至少拿不出能够公布的确切结论。换句话来说,一款清除型病毒怎么会令基础设施无法正常供电?我们还没能找到答案。”

3、攻击者是否混合了多种攻击技术?

NERC 前任CSO Michael Assante于今年1月5号写给SANS协会的通报当中指出,攻击者很有可能将多种技术加以混合,从而导致并扩大了此次破坏活动。“文件清除型恶意软件 本身当然能够破坏掉SCADA系统,但单凭其自身还不足以引发电力中断,”他解释称。“我们猜测,攻击者可能手动接入了某台受感染设备,例如HMI——即 人机界面——并下达了断闸指令,”但这一切都只是理论层面的观点。“清除型恶意软件随后还被用于阻止SCADA系统恢复,从而进一步扩大电力中断,不过受 到影响的乌克兰电力设施仍然有能力以手动方式恢复运行,包括重新闭合电闸并为系统供电。”

他同时援引相关报道中的部分内容,即伊万诺-弗兰科夫斯克地区曾在停电期间遭遇到一次蜂窝电话网络拒绝服务攻击。这样的攻击活动能够阻止电力运营商以远程方式控制受感染系统并以协作方式实施应急工作。

“乌克兰在过去就曾经面临着电网可靠性问题的困扰,因此这很可能意味着其一直高度依赖于远程接入机制,”Weiss表示,并指出这种远程接入手段除了通过互联网实现之外、可能还会通过蜂窝网络进行。

4、乌克兰是否正是攻击活动的既定目标?

另 外同样尚不清楚的是,攻击者们是否直接将矛头指向了乌克兰电力供应商。“这到底是一次有针对性的攻击活动,还是仅仅属于以某种方式涉及部分系统的广泛感染 行为?如果是后种情况,其是如何实现的?”Honan提出疑问。“这些受感染系统是否接入了互联网?如果是,为什么?世界范围内是否还有其它运行着类似基 础设施的电力设施应当从此次事件当中吸取教训?”

如 果BlackEnergy恶意软件——或者其它同样将木马载入至受感染系统的恶意软件类型——被用于破坏能源生产系统,那么相信未来还将有更多类似的攻击 活动指向其它能源企业。“就目前而言,BlackEnergy主要专注于对往来信息进行破坏,而非直接针对基础设施本身,”Weiss指出。他同时警告 称,这类恶意软件“指向的是西门子与通用电气系统,”这意味着其很可能会被用于破坏电力供应商之外的其它潜在受害目标。

5、为什么工业领域仍然缺少理想的取证手段?

在 对此类停机状况的调查工作当中,最为复杂的因素之一在于众多控制系统仍然缺少任何形式的日志记录或者数字化取证审查功能,Weiss提醒道。“控制系统当 中存在着大量已知安全漏洞,而且也已经出现了与之相关的大量控制系统事故——包括攻击与意外事故。与此同时,我们对控制系统的取证能力仍然非常有限,特别 是在Windows/IP层面之下,”他表示。“因此……如果电力中断,我们甚至无法确定自己是否受到了黑客攻击。”

6、此次黑客攻击是否属于军事测试?

尽 管乌克兰停电事故看起来属于一次滋扰级别的攻击活动——根据报道,没有人员伤亡亦没有爆炸等严重的后续状况——但SANS协会研究所所长Alan Paller表示,此次破坏行为很可能属于军事应用范畴。“网络武器很可能会被埋藏在目标电力供应企业当中,并在必要时发挥与导弹相等同的作用——对方甚 至根本意识不到自身已经受到了攻击,”他在1月5号的SANS通报当中强调称。“一旦电力与通信体系被破坏,国家调动防御及组织反击力量的能力也将无法继 续。”

7、政府机关是否会就此做出改进?

但 这些风险并不是什么新鲜事,Weiss表示,并会被定期报告给美国国会、美国能源部以及国土安全部等机构。“很明显,能源部与国土安全部并没能成功针对电 网体系实现网络安全水平改进,因为我们的电网以及其它关键性基础设施仍然存在着严重安全漏洞,而且截至目前已经出现了超过250起实际发生的控制系统网络 事故,”Weiss解释道。“这些系统中的漏洞是否可为BlackEnergy所利用?答案是肯定的。”

8、ICS供应商是否会改进自己的安全性水平?

如 果政府机关发挥不了应有的作用,Weiss表示ICS供应商与用户往往也无法判断出与网络相关的事故并对自身产品中的缺陷进行清理。举例来说,在本周于汉 堡召开的Chaos通信大会上,就有多位研究人员发布了一套最新SCADAPass版本,其中披露了100套不同ICS及SCADA产品当中的硬编码与已 知密码内容——具体涵盖交换机、控制器、可扩展逻辑控制器、Web服务器、无线管理站等等——而相关设备制造商则包括B&B电子、艾默生、罗克韦 尔自动化、三星、施耐德电气以及西门子等。

与此同时,国土安全部上个月亦警告称,有多款来自施耐德电气的PLC产品中存在着零日漏洞,攻击者可以利用其以远程方式夺取设备的控制权。这些设备目前被应用于多种不同环境类型,包括电力设施、核反应堆以及净水与废水处理车间等等。

9、如何推进变革?

由于政府机关目前在帮助实现ICS安全方面一直无所作为,Weiss表示我们只能寄希望于来自其它方面的辅助,例如评级机构。

“穆迪、标准普尔以及各保险公司已经开始意识到关键性基础设施网络将面临严峻安全风险,”Weiss表示。

不过他同时补充称,国土安全部方面所做的工作实在太过有限,并提到了最近刚刚被披露的2013年纽约州雷伊大坝遭受入侵的事件——据称尽管没能获得系统的充分控制权,伊朗黑客仍然顺利侵入了该大坝的闸门装置。

“国土安全部在事故发生后的一年多当中并没有公布这项信息,”Weiss指出。“系统已遭破坏,但政府方面却对此讳莫如深。”

知识来源: www.1937cn.net/?p=2438
想收藏或者和大家分享这篇好文章→复制链接地址

“乌克兰电网遭遇黑客攻击:九个有待解答的问题”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云