有一種痛只有烏克蘭才懂。

2015年12月23日，烏克蘭首都基輔部分地區(qū)和烏克蘭西部的 140 萬名居民突然遭遇了一次大停電，這次停電的罪魁禍?zhǔn)资呛诳汀?/p>

沒想到，時(shí)隔一年，2016年12月17日，烏克蘭的國家電力部門又遭遇了一次黑客襲擊，這次停電了 30 分鐘。

據(jù)外媒CBS報(bào)道，黑客向電力公司的員工發(fā)送了一封帶附件的郵件，將登錄證書偷到手后，又奪取了電站系統(tǒng)的控制權(quán)，切斷了近 60 個(gè)變電站的斷路器。

為了處理停電問題，發(fā)電站的工程師必須將發(fā)電站的設(shè)備切換到手動(dòng)模式。相關(guān)技術(shù)人員花了 30 分鐘左右的時(shí)間讓發(fā)電設(shè)備的功率恢復(fù)正常，徹底解決所有問題則用了 75 分鐘。

元兇是 BlackEnergy 的馬甲

雷鋒網(wǎng)曾對(duì)此次斷電事件進(jìn)行過報(bào)道，并發(fā)現(xiàn)同款惡意軟件已經(jīng)流入美國，引起了美國主流媒體的恐慌。

在2015年對(duì)烏克蘭電站的攻擊中，黑客利用欺騙手段讓電力公司員工下載了一款惡意軟件“ BlackEnergy ”。1月10日，綠盟科技安全團(tuán)隊(duì)告訴雷鋒網(wǎng)，通過對(duì)2016年烏克蘭電站第二次被黑的惡意代碼進(jìn)行分析，發(fā)現(xiàn)本次事件的攻擊者是 Telebots 組織，該組織與 BlackEnergy 組織有關(guān)，而電腦安全軟件公司的博客文章提到，攻擊烏克蘭電網(wǎng)并致其停運(yùn)的 BlackEnergy 組織現(xiàn)如今似已更名TeleBots，目前該黑客組織已經(jīng)將目標(biāo)轉(zhuǎn)移到了烏克蘭銀行。

也就是， Telebots 組織和 BlackEnergy 組織“換湯不換藥”。幾乎被同一元兇黑完一次又一次，這種烏克蘭的憂傷你可懂？

一氣呵成地入侵

雖然，綠盟科技的專家 W 在接受雷鋒網(wǎng)的采訪時(shí)稱，Telebots 組織攻擊烏克蘭電站的目的暫時(shí)并不明確，但攻擊手法卻被摸得一清二楚，同時(shí)尚未在我國發(fā)現(xiàn)同款惡意軟件。

電力系統(tǒng)是由發(fā)電、輸電、變電、配電和用電連接成的統(tǒng)一整體，在整個(gè)電力系統(tǒng)中，幾乎每個(gè)環(huán)節(jié)都依賴計(jì)算機(jī)技術(shù)的支撐，比如各級(jí)電網(wǎng)調(diào)度控制中心的計(jì)算機(jī)系統(tǒng)、變電站的計(jì)算機(jī)監(jiān)控系統(tǒng)等。

國內(nèi)變電站是完全隔離的局域網(wǎng)，不與公網(wǎng)連接，將變電站內(nèi)的區(qū)域通過防火墻分隔成了安全I(xiàn)區(qū)和安全I(xiàn)I區(qū)，即實(shí)時(shí)生產(chǎn)控制區(qū)，可以直接控制電力一次設(shè)備的運(yùn)行，非實(shí)時(shí)控制區(qū)，如電能量計(jì)量系統(tǒng)，故障錄波管理系統(tǒng)等；而國外的變電站可以通過辦公區(qū)以 VPN 等形式接入變電站的內(nèi)部網(wǎng)絡(luò)。

這意味著，國外變電站的內(nèi)部網(wǎng)絡(luò)可以通過辦公區(qū)域入侵，雖然，W 告訴雷鋒網(wǎng)，并不清楚 2016 年12月下旬烏克蘭電站被黑最初是通過哪一級(jí)員工的電腦，但是作案兇器已經(jīng)找到，并分析了入侵路徑。

【作案兇器——惡意軟件詳細(xì)樣本】

【入侵路徑】

W告訴雷鋒網(wǎng)，與一般 APT 攻擊類似的是，攻擊者先通過給電站員工發(fā)送帶有惡意附件的的郵件，員工下載后，釋放了相關(guān)文件，從電站網(wǎng)絡(luò)的服務(wù)器下載了后門文件。

狡詐的是，這個(gè)被下載了的xls文件通過運(yùn)行文檔中的宏代碼，將可執(zhí)行文件釋放到臨時(shí)目錄“C:\User\xxx\AppData\Local\Temp”，并命名為“explorer.exe”，假裝自己是一個(gè)無害文件來隱藏自身。

實(shí)際上，這個(gè)文件是一個(gè)下載器，可以從電站網(wǎng)絡(luò)從服務(wù)器下載文件并執(zhí)行。同時(shí)，值得注意的是，這個(gè)域名是一個(gè)允許任何人下載和上傳文件的托管網(wǎng)站——也要怪電站安全做得不好，把大門敞開面向了黑客！

上述步驟創(chuàng)建了一個(gè) lsass.exe 文件，這個(gè)文件就是用來接收服務(wù)器的指令，執(zhí)行不同的功能。此刻，攻擊者進(jìn)“門”后只有一個(gè)目標(biāo)，獲取管理員權(quán)限，控制電站系統(tǒng)。

于是，隨后如上圖所示，惡意軟件進(jìn)行了一系列操作，部署額外后門防止被網(wǎng)絡(luò)發(fā)現(xiàn)，收集瀏覽器和網(wǎng)絡(luò)數(shù)據(jù)中的關(guān)鍵賬號(hào)和密碼信息……，并不斷將竊取到的信息發(fā)送到自己的郵箱。

在一步步提升自己的權(quán)限后，KillDisk 組件具備了關(guān)機(jī)和修改系統(tǒng)目錄文件的權(quán)限，最后成功地清除系統(tǒng)扇區(qū)，刪除重要的系統(tǒng)文件，對(duì)特定類型的文件內(nèi)容進(jìn)行覆蓋，結(jié)束系統(tǒng)進(jìn)程，致使系統(tǒng)崩潰，無法修復(fù)。

綠盟科技研究團(tuán)隊(duì)指出，通過代碼跟蹤分析，發(fā)現(xiàn)了最后關(guān)鍵一步的 KillDisk 組件的一個(gè)變種，可以運(yùn)行在多種平臺(tái)上。

這意味著，攻擊者利用該變種文件不僅可以攻擊 Windows 上位機(jī)控制的 SCADA/ICS 系統(tǒng)，也可以攻擊Linux上位機(jī)控制的SCADA/ICS系統(tǒng)。目前該變種文件已經(jīng)被作為 Linux 系統(tǒng)的勒索軟件，勒索贖金為222個(gè)比特幣，折合人民幣1729875元（現(xiàn)在比特幣漲價(jià)了，可能會(huì)更多吧?。?。

綠盟科技研究團(tuán)隊(duì)還分析出，發(fā)現(xiàn)該惡意軟件樣本會(huì)連接兩個(gè) IP 地址：荷蘭和俄羅斯。這意味著俄羅斯黑客的罪名要坐實(shí)了？

攻擊者的攻擊路徑會(huì)被反推獲取攻擊者的信息嗎？W認(rèn)為，攻擊者一般都是通過暗網(wǎng)，經(jīng)過了跳轉(zhuǎn)，當(dāng)然，如果追蹤技術(shù)高超，是可以找到最終的幕后黑手的。

這意味著，實(shí)際 IP 是否真的是這兩個(gè)，就要看你相不相信俄羅斯了。

注：文中關(guān)鍵圖片由綠盟科技威脅情報(bào)與網(wǎng)絡(luò)安全實(shí)驗(yàn)室提供。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。