為什么黑客搞烏克蘭的方法在中國必定會失??？

本文作者：史中

2016-02-01 13:17

導(dǎo)語：黑客沒完沒了，又對烏克蘭電網(wǎng)發(fā)起了第二彈攻擊。然而，這次的攻擊方法如果用來對付中國，必定會遭到慘敗。原因非常振奮人心，相信我。

烏克蘭電網(wǎng)如今已經(jīng)呈現(xiàn)一種“破鼓萬人捶”的姿勢了。

2015年圣誕節(jié)前，黑客通過惡意程序?qū)﹄娋W(wǎng)痛下殺手，造成了百萬人大停電。然而，僅僅一個多月之后的2016年1月19日，安全公司又在烏克蘭電網(wǎng)中發(fā)現(xiàn)了第二波攻擊的惡意程序。幸虧這次發(fā)現(xiàn)及時(shí)，沒有對電網(wǎng)運(yùn)行造成實(shí)質(zhì)性的破壞。然而，種種證據(jù)表明，這個惡意程序也許只是最新攻擊的一個序曲。

萬惡之源

這次攻擊是從兩封郵件開始的。

為什么黑客搞烏克蘭的方法在中國必定會失敗？

【黑客發(fā)送的釣魚郵件內(nèi)容】

安全公司微步在線為雷鋒網(wǎng)展示了郵件內(nèi)容。兩封郵件都是由烏克蘭某國有電力公司發(fā)出的，分別發(fā)送給下屬機(jī)構(gòu)和另一家電力公司。但是顯然，發(fā)件人的郵箱是偽造的。

目前來看，郵箱防偽需要發(fā)送方（可能被仿冒的發(fā)件人郵箱）和接收方的相互認(rèn)證。實(shí)際上大部分郵箱都沒有采取防偽措施，仿冒郵箱是相對容易的。

微步在線CEO薛鋒說。

郵件的標(biāo)題是：“注意！2016-2025 年OEC烏克蘭發(fā)展計(jì)劃研討會變更舉行日期”

這樣的郵件，對于電力系統(tǒng)的人來說，就像是我們收到了來自支付寶或運(yùn)營商的賬單一樣。很多人會完全放松警惕。

難以拒絕的誘惑

郵件內(nèi)容是烏克蘭語，大意如下：

根據(jù)烏克蘭法律”運(yùn)營烏克蘭電力市場的原則“以及”未來十年烏克蘭聯(lián)合能源系統(tǒng)的訂單準(zhǔn)備系統(tǒng)運(yùn)營商發(fā)展計(jì)劃“，經(jīng)烏克蘭煤炭工業(yè)能源部批準(zhǔn)的No.680 20140929系統(tǒng)運(yùn)營商，在其官方網(wǎng)站發(fā)布。主題是：“烏克蘭2016年至2025年聯(lián)合能源系統(tǒng)發(fā)展規(guī)劃”。發(fā)展規(guī)劃具體內(nèi)容草案在郵件附件中。

附件是一個“老實(shí)巴交”的 Excel 文件。然而，一旦打開這個文件，就會跳出一個提示：“請注意！本文件創(chuàng)建于新版本的Office軟件中。如需展示文件內(nèi)容，需要開啟宏。”

此刻，收件人大概會一邊抱怨辦公軟件版本的落后，一邊點(diǎn)擊“同意”。這正中了黑客的下懷。

網(wǎng)絡(luò)淪為傀儡

進(jìn)行到這一步，局面已經(jīng)徹底失控了。嵌入在Excel文件中的惡意宏代碼會從指定服務(wù)器下載“攻擊文件全家桶”，給網(wǎng)絡(luò)安裝一個后門。有了這個后門，黑客可以通過一個Gmail的郵箱對電力公司的網(wǎng)絡(luò)發(fā)布指令，進(jìn)而收集信息，或者試圖控制電力生產(chǎn)網(wǎng)絡(luò)。這樣，整個網(wǎng)絡(luò)就會成為黑客的傀儡。

由于發(fā)現(xiàn)及時(shí)，看來這次進(jìn)攻沒有造成最壞的結(jié)果——斷電事故。不過，實(shí)際上安全人員對黑客的進(jìn)攻計(jì)劃并不掌握。如果這次黑客的目的只是收集信息的話，那么他們很可能已經(jīng)成功了。既然黑客收集到了想要的信息，那么一定會利用這些信息發(fā)起攻擊。所以，烏克蘭電網(wǎng)的噩夢并沒有結(jié)束。

為什么黑客搞烏克蘭的方法在中國必定會失?。? src=

【根據(jù)微步在線的研究，截至1月28日，只有一個殺毒軟件可以識別攻擊程序】

然而

黑客對于電力公司網(wǎng)絡(luò)的控制采取了一個有趣的方法，那就是通過Gmail來下達(dá)指令。所以在這次進(jìn)攻被感知的第一時(shí)間，谷歌就把這個Gmail賬戶封禁了。也就是說，這個進(jìn)攻路徑已經(jīng)被摧毀，黑客如果想進(jìn)行進(jìn)一步的攻擊，必須要“另辟蹊徑”。不過幾個月來黑客一而再，再而三地出入烏克蘭各大電力公司，如入無人之境，而且每次的姿勢都有所不同，想必再次進(jìn)攻應(yīng)該不是難事。

這不禁讓很多人開始擔(dān)心我們自己的電網(wǎng)安全。我們的網(wǎng)絡(luò)是否能抵擋黑客的進(jìn)攻呢？感興趣的童鞋可以參考雷鋒網(wǎng)文章《我們的工業(yè)安全究竟有多脆弱》。

不過，雷鋒網(wǎng)可以負(fù)責(zé)人地告訴大家，如果黑客用這種手法進(jìn)攻中國的網(wǎng)絡(luò)，一定會遭到可恥的、徹頭徹尾的失敗。原因很簡單：

他們在用Gmail郵箱發(fā)起進(jìn)攻，而Gmail在中國是被墻的，是被墻的，被墻的，墻的，的。。。。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。

0人收藏

相關(guān)文章