烏克蘭電站兩次撲街，專家詳解攻擊兇器

有一種痛只有烏克蘭才懂。

2015年12月23日，烏克蘭首都基輔部分地區和烏克蘭西部的 140 萬名居民突然遭遇了一次大停電，這次停電的罪魁禍首是黑客。

沒想到，時隔一年，2016年12月17日，烏克蘭的國家電力部門又遭遇了一次黑客襲擊，這次停電了 30 分鐘。

據外媒CBS報道，黑客向電力公司的員工發送了一封帶附件的郵件，將登錄證書偷到手后，又奪取了電站系統的控制權，切斷了近 60 個變電站的斷路器。

為了處理停電問題，發電站的工程師必須將發電站的設備切換到手動模式。相關技術人員花了 30 分鐘左右的時間讓發電設備的功率恢復正常，徹底解決所有問題則用了 75 分鐘。

元兇是 BlackEnergy 的馬甲

雷鋒網曾對此次斷電事件進行過報道，并發現同款惡意軟件已經流入美國，引起了美國主流媒體的恐慌。

在2015年對烏克蘭電站的攻擊中，黑客利用欺騙手段讓電力公司員工下載了一款惡意軟件“ BlackEnergy ”。1月10日，綠盟科技安全團隊告訴雷鋒網，通過對2016年烏克蘭電站第二次被黑的惡意代碼進行分析，發現本次事件的攻擊者是 Telebots 組織，該組織與 BlackEnergy 組織有關，而電腦安全軟件公司的博客文章提到，攻擊烏克蘭電網并致其停運的 BlackEnergy 組織現如今似已更名TeleBots，目前該黑客組織已經將目標轉移到了烏克蘭銀行。

也就是， Telebots 組織和 BlackEnergy 組織“換湯不換藥”。幾乎被同一元兇黑完一次又一次，這種烏克蘭的憂傷你可懂？

一氣呵成地入侵

雖然，綠盟科技的專家 W 在接受雷鋒網的采訪時稱，Telebots 組織攻擊烏克蘭電站的目的暫時并不明確，但攻擊手法卻被摸得一清二楚，同時尚未在我國發現同款惡意軟件。

電力系統是由發電、輸電、變電、配電和用電連接成的統一整體，在整個電力系統中，幾乎每個環節都依賴計算機技術的支撐，比如各級電網調度控制中心的計算機系統、變電站的計算機監控系統等。

國內變電站是完全隔離的局域網，不與公網連接，將變電站內的區域通過防火墻分隔成了安全I區和安全II區，即實時生產控制區，可以直接控制電力一次設備的運行，非實時控制區，如電能量計量系統，故障錄波管理系統等；而國外的變電站可以通過辦公區以 VPN 等形式接入變電站的內部網絡。

這意味著，國外變電站的內部網絡可以通過辦公區域入侵，雖然，W 告訴雷鋒網，并不清楚 2016 年12月下旬烏克蘭電站被黑最初是通過哪一級員工的電腦，但是作案兇器已經找到，并分析了入侵路徑。

【作案兇器——惡意軟件詳細樣本】

【入侵路徑】

W告訴雷鋒網，與一般 APT 攻擊類似的是，攻擊者先通過給電站員工發送帶有惡意附件的的郵件，員工下載后，釋放了相關文件，從電站網絡的服務器下載了后門文件。

狡詐的是，這個被下載了的xls文件通過運行文檔中的宏代碼，將可執行文件釋放到臨時目錄“C:\User\xxx\AppData\Local\Temp”，并命名為“explorer.exe”，假裝自己是一個無害文件來隱藏自身。

實際上，這個文件是一個下載器，可以從電站網絡從服務器下載文件并執行。同時，值得注意的是，這個域名是一個允許任何人下載和上傳文件的托管網站——也要怪電站安全做得不好，把大門敞開面向了黑客！

上述步驟創建了一個 lsass.exe 文件，這個文件就是用來接收服務器的指令，執行不同的功能。此刻，攻擊者進“門”后只有一個目標，獲取管理員權限，控制電站系統。

于是，隨后如上圖所示，惡意軟件進行了一系列操作，部署額外后門防止被網絡發現，收集瀏覽器和網絡數據中的關鍵賬號和密碼信息……，并不斷將竊取到的信息發送到自己的郵箱。

在一步步提升自己的權限后，KillDisk 組件具備了關機和修改系統目錄文件的權限，最后成功地清除系統扇區，刪除重要的系統文件，對特定類型的文件內容進行覆蓋，結束系統進程，致使系統崩潰，無法修復。

綠盟科技研究團隊指出，通過代碼跟蹤分析，發現了最后關鍵一步的 KillDisk 組件的一個變種，可以運行在多種平臺上。

這意味著，攻擊者利用該變種文件不僅可以攻擊 Windows 上位機控制的 SCADA/ICS 系統，也可以攻擊Linux上位機控制的SCADA/ICS系統。目前該變種文件已經被作為 Linux 系統的勒索軟件，勒索贖金為222個比特幣，折合人民幣1729875元（現在比特幣漲價了，可能會更多吧！）。

綠盟科技研究團隊還分析出，發現該惡意軟件樣本會連接兩個 IP 地址：荷蘭和俄羅斯。這意味著俄羅斯黑客的罪名要坐實了？

攻擊者的攻擊路徑會被反推獲取攻擊者的信息嗎？W認為，攻擊者一般都是通過暗網，經過了跳轉，當然，如果追蹤技術高超，是可以找到最終的幕后黑手的。

這意味著，實際 IP 是否真的是這兩個，就要看你相不相信俄羅斯了。

注：文中關鍵圖片由綠盟科技威脅情報與網絡安全實驗室提供。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。