乌克兰电站两次扑街,专家详解攻击凶器

有一种痛只有乌克兰才懂。

2015年12月23日,乌克兰首都基辅部分地区和乌克兰西部的 140 万名居民突然遭遇了一次大停电,这次停电的罪魁祸首是黑客。

没想到,时隔一年,2016年12月17日,乌克兰的国家电力部门又遭遇了一次黑客袭击,这次停电了 30 分钟。

据外媒CBS报道,黑客向电力公司的员工发送了一封带附件的邮件,将登录证书偷到手后,又夺取了电站系统的控制权,切断了近 60 个变电站的断路器。

为了处理停电问题,发电站的工程师必须将发电站的设备切换到手动模式。相关技术人员花了 30 分钟左右的时间让发电设备的功率恢复正常,彻底解决所有问题则用了 75 分钟。

元凶是 BlackEnergy 的马甲

雷锋网曾对此次断电事件进行过报道,并发现同款恶意软件已经流入美国,引起了美国主流媒体的恐慌。

在2015年对乌克兰电站的攻击中,黑客利用欺骗手段让电力公司员工下载了一款恶意软件“ BlackEnergy ”。1月10日,绿盟科技安全团队告诉雷锋网,通过对2016年乌克兰电站第二次被黑的恶意代码进行分析,发现本次事件的攻击者是 Telebots 组织,该组织与 BlackEnergy 组织有关,而电脑安全软件公司的博客文章提到,攻击乌克兰电网并致其停运的 BlackEnergy 组织现如今似已更名TeleBots,目前该黑客组织已经将目标转移到了乌克兰银行。

也就是, Telebots 组织和 BlackEnergy 组织“换汤不换药”。几乎被同一元凶黑完一次又一次,这种乌克兰的忧伤你可懂?

乌克兰电站两次扑街,专家详解攻击凶器

一气呵成地入侵

虽然,绿盟科技的专家 W 在接受雷锋网的采访时称,Telebots 组织攻击乌克兰电站的目的暂时并不明确,但攻击手法却被摸得一清二楚,同时尚未在我国发现同款恶意软件。

电力系统是由发电、输电、变电、配电和用电连接成的统一整体,在整个电力系统中,几乎每个环节都依赖计算机技术的支撑,比如各级电网调度控制中心的计算机系统、变电站的计算机监控系统等。

国内变电站是完全隔离的局域网,不与公网连接,将变电站内的区域通过防火墙分隔成了安全I区和安全II区,即实时生产控制区,可以直接控制电力一次设备的运行,非实时控制区,如电能量计量系统,故障录波管理系统等;而国外的变电站可以通过办公区以 VPN 等形式接入变电站的内部网络。

这意味着,国外变电站的内部网络可以通过办公区域入侵,虽然,W 告诉雷锋网,并不清楚 2016 年12月下旬乌克兰电站被黑最初是通过哪一级员工的电脑,但是作案凶器已经找到,并分析了入侵路径。

乌克兰电站两次扑街,专家详解攻击凶器

【作案凶器——恶意软件详细样本】

乌克兰电站两次扑街,专家详解攻击凶器

【入侵路径】

W告诉雷锋网(公众号:雷锋网),与一般 APT 攻击类似的是,攻击者先通过给电站员工发送带有恶意附件的的邮件,员工下载后,释放了相关文件,从电站网络的服务器下载了后门文件。

狡诈的是,这个被下载了的xls文件通过运行文档中的宏代码,将可执行文件释放到临时目录“C:/User/xxx/AppData/Local/Temp”,并命名为“explorer.exe”,假装自己是一个无害文件来隐藏自身。

实际上,这个文件是一个下载器,可以从电站网络从服务器下载文件并执行。同时,值得注意的是,这个域名是一个允许任何人下载和上传文件的托管网站——也要怪电站安全做得不好,把大门敞开面向了黑客!

上述步骤创建了一个 lsass.exe 文件,这个文件就是用来接收服务器的指令,执行不同的功能。此刻,攻击者进“门”后只有一个目标,获取管理员权限,控制电站系统。

于是,随后如上图所示,恶意软件进行了一系列操作,部署额外后门防止被网络发现,收集浏览器和网络数据中的关键账号和密码信息……,并不断将窃取到的信息发送到自己的邮箱。

在一步步提升自己的权限后,KillDisk 组件具备了关机和修改系统目录文件的权限,最后成功地清除系统扇区,删除重要的系统文件,对特定类型的文件内容进行覆盖,结束系统进程,致使系统崩溃,无法修复。

绿盟科技研究团队指出,通过代码跟踪分析,发现了最后关键一步的 KillDisk 组件的一个变种,可以运行在多种平台上。

这意味着,攻击者利用该变种文件不仅可以攻击 Windows 上位机控制的 SCADA/ICS 系统,也可以攻击Linux上位机控制的SCADA/ICS系统。目前该变种文件已经被作为 Linux 系统的勒索软件,勒索赎金为222个比特币,折合人民币1729875元(现在比特币涨价了,可能会更多吧!)。

绿盟科技研究团队还分析出,发现该恶意软件样本会连接两个 IP 地址:荷兰和俄罗斯。这意味着俄罗斯黑客的罪名要坐实了?

攻击者的攻击路径会被反推获取攻击者的信息吗?W认为,攻击者一般都是通过暗网,经过了跳转,当然,如果追踪技术高超,是可以找到最终的幕后黑手的。

这意味着,实际 IP 是否真的是这两个,就要看你相不相信俄罗斯了。

乌克兰电站两次扑街,专家详解攻击凶器

注:文中关键图片由绿盟科技威胁情报与网络安全实验室提供。

原创文章,作者:Maggie-Hunter,如若转载,请注明出处:https://blog.ytso.com/83755.html

(0)
上一篇 2021年8月12日 18:09
下一篇 2021年8月12日 18:09

相关推荐

发表回复

登录后才能评论