2015年12月23日,乌克兰电力系统遭到黑客攻击,导致伊万诺-弗兰科夫-斯克地区约一半家庭停电6小时。根据多家安全公司的监测和分析,此次攻击是黑客通过社会工程等手段向乌克兰电力部门植入可远程访问和控制工业控制系统的BlackEnergy恶意软件,导致电网故障。
通过对该事件中恶意软件样本的分析可以看出,黑客利用BlackEnergy恶意软件向乌克兰电力系统主机释放killdisk(硬盘数据擦除)组件,导致电网SCADA主机系统崩溃,导致电网故障。
首先,黑客通过社会工程将恶意软件植入目标主机。利用黑客的Office宏(VBA代码)加载XLS文件中BlackEnergy恶意软件的可执行文件,通过邮件钓鱼攻击等社会工程手段将XLS文件推送给电力部门相关人员,通过设置业务相关邮件头引诱攻击者打开XLS文件。当XLS文件被打开时,恶意软件被执行并植入目标主机。
之后恶意软件会自动安装后门,破坏组件。恶意软件植入目标主机后,释放vba_marco.exe和killdisk破坏组件,注入代码并调用关键进程,从网络下载安装一系列SSH后门和驱动文件,开启RPC(远程过程调用协议)通道监控,确保攻击者能够长时间控制目标主机。
随后,受损组件恶意攻击电力系统主机。发布的killdisk组件作为svchost.exe服务引导和自启动。启动过程设置不同的参数实现不同的功能,包括关闭windows安全机制、获取系统权限、清除系统日志、磁盘驱动器扇区数据清零、删除包括所有exe在内的各类文件、覆盖某些特定工控软件的可执行文件等。KilldDisk可以设置为在固定时间执行。通过KilldDisk,黑客已经遍历并删除了乌克兰电力系统中主机硬盘上的大部分文件,导致主机无法重启,导致电网故障。
这种攻击的突破口就是典型的鱼叉攻击,这是一种社会工程的攻击方式,2015年ICS攻击的比例大大增加。这种社会工程攻击其实可以通过加强人们的网络安全意识来有效防范。
