乌克兰断电事件的过程: 2015年12月23日,乌克兰电力公司网络系统遭到黑客攻击,确定遭受到攻击的地区有三个Ivano-Frankivsk,Kyivoblenergo,Tensions,其余地区未知,这三个地区位于首都和西部地区。 黑客使用了高度破坏性的恶意软件至少感染了三个地区电力部门的基础设施,导致发电设备产生故障。电力公司最后的修复方案是人工启动子电力系统,而暂时无法恢复总系统,因为被软件恶意破坏。 Prykarpattyaoblenergo就是位于乌克兰西北部的一家电力公司,表示是电力控制系统有大规模宕机行为发生,造成这三个地区断电6小时之久,影响上万乌克兰家庭。 这个时间并不是单纯的技术安全事件,而是一个有意图谋划的攻击事件,因为乌克兰庆祝圣诞节的时间不是西方的25号而是23号,另外从乌克兰的电力公司报告来看,攻击者为了不让受害群众电话通知电力服务中心,使用洪水攻击大量拨号到电力用户服务中心,阻断了通信过程长达几小时之久,导致受害群众无法拨通电力部门电话,使断电反馈无法转到电力响应部门。 技术层面: 乌克兰本国公司,乌克兰电力,美国技术分析公司对此次事件进行了技术分析,有几个热点 1. 这是历史上第一次网络攻击导致物理断电的案例。 2. 此次攻击日期之前在电力部门员工邮箱内发现攻击者发来的恶意邮件,属于定向式鱼叉攻击,使用了微软ppt漏洞CVE编号CVE-2014-4114 只要员工打开这个邮件就会被攻击者植入木马,控制电脑。 3. 分析人员在相关服务器中发现了恶意程序BlackEnergy,这本身就是一个木马程序,这个程序是与长期活跃于俄罗斯的黑客小组Sandworm Team相关,这个小组负责这个木马程序的开发和维护,目前已经发现了至少3个版本的该木马分支。 4. 该木马程序在本次攻击行为中最重要一点是携带了一个插件名字为KillDisk ,经过我们对样本程序的分析发现,这个工具可以用来对指定文件名后缀的文件(有上百个后缀之多)谁用随机数据覆盖文件头部,达到破坏目的,这个工具还能够对硬盘设备进行“写零”操作就是,使用0覆盖掉磁盘上所有的数据,当发现进程中有komut.exe and sec_service.exe(工控)就执行数据破坏操作,目前对于这个工具在此次攻击中的行为分析难以定论,可以用来直接破坏,也有可能是被黑客用来擦除自身操作记录,当然也有可能这两种意思都有。 5. BlackEnergy中还留存有一个ssh后门,后门密码是passDs5Bu9Te7。能够实现远程命令执行,实现对设备的持久控制。 6. BlackEnergy软件的衍生版本和功能 7. Sandworm Team这个黑客小组是以研究工控系统漏洞和攻击出名的,典型的攻击对象就是工控界的老大scada平台,他们研发的木马程序能够对scada工控平台进行打击。这个小组在很长一段时间内已经对乌克兰的电力,媒体部门进行过相同软件的攻击测试,影响未知。2014年10月和2015年初就被在乌克兰相关部门的主机中被检测出来过 8. 大规模数据破坏行为也是第一次展现的这么突出 我个人分析的感觉就是这群狗日的根本就是想破坏,先通过邮件鱼叉攻击员工,然后通过网络攻击到工业控制系统,通过ssh后门实现对该系统的关机操作,然后通过KillDisk一边删 本文来源:https://www.wddqw.com/doc/6e23d8367a3e0912a21614791711cc7931b7780d.html