乌克兰电网攻击纪实.doc

实用文档 文案大全 乌克兰电网攻击纪实：能力逆天的狡猾黑客 （原标题：乌克兰电网攻击纪实：能力逆天的狡猾黑客） 摘要：时间正值2015年12月23号下午3：30，乌克兰西部伊万诺-弗兰科夫斯克地区的居民们结束了一天的工作，陆续走向通往温暖家中的寒冷街道。而在负责当 地电力供应的Prykarpattyaoblenergo控制中心，运维人员也即将完成自己的当次轮班。但就在这一切顺利推进的同时，平静被打破了——一 位当值人员在整理桌上文件时，突然发现自己的计算机屏幕上的光标开始四处游移。 他看到光标指向负责当地变电站断路器的导航按钮，点击对话框并选择断开断路器——这项操作将使得整座变电站全面下线。接下来，屏幕上出现了确认窗口以复核上述操作，这位运维人员目瞪口呆地看着光标移动到框体之内并点击了确定。这时他已经可以肯定，城外的某处区域内数以千计的居民将因此陷入黑暗与寒冷当中。 这位运维人员立刻抓起鼠标，试图夺回对光标的控制权——但他的反应似乎还是慢了一点。光标随后朝着另一个断路器控制按钮移动，而设备亦突然将他从控制面板中登出。虽然他反复尝试重复登录，但攻击者变更了他的密码内容，使其无法顺利完成验证。这时候，他能做的只有无奈地盯着屏幕，眼睁睁地看着设备中的恶意幽灵断开一个又一个断路器，最终导致约30座变电站下线。然而攻击者并没有就这样停下脚步。此次攻击还影响到另外两座配电中心，这意味着遭遇下线的变电站数量几乎翻了一倍，使得超过23万名居民陷入无电可用的困境。不仅如此，其亦无法从总计三座电力供应中心的两座处获取备用电力，这意味着运维人员自身也被停电引发的黑暗所笼罩。 天才般的网络作战计划 作为有史以来首例得到确认的电力设施攻击行动，此次乌克兰电力中心遇袭案的组织者们并不是碰巧接入其网络并发动功能测试攻击的机会主义者;根据相关广泛调查得出的最新结论，这群恶意人士拥有高超的技术水平及藏身策略。他们已经拿出几个月时间对攻击细节进行精心策划，包括首先侦察并研究网络条件、获取运维人员登录凭证，而后发动这次严密编排下的同步攻击活动。 “此次攻击显示出其非凡的能力，”调查协助人员Robert M. Lee表示。Lee原先曾在美国空军担任网络战作战军官，如今则成为关键性基础设施安全厂商Dragos Security公司的联合创始人。“就成熟程度而言E安全/文，大多数人关注的主要是攻击活动中所使用的恶意软件，”他解释称。“但对我来讲，真正代表着攻击手段成熟度的其实是个中逻辑、规划与操作，乃至整个攻击过程中的实施步骤。而这一次攻击显然非常成熟。” 乌克兰迅速将攻击发起者认定为俄罗斯。Lee并没有给出任何具体的攻击发动者猜测，但表示他发现此次攻击活动中不同层级乃至不同定位间的分工与协作方式非常明确且高效。这意味着此次攻击很可能源自多方的通力配合——也许是网络犯罪集团与政府支持攻击者间配合完成。 “这次攻击活动显然由资金充裕且人员水平出色的团队完成。……但这并不一定意味着其由民族国家所支持，”他解释称。也许最初是由网络犯罪分子获取到网络的初始接入途径，而后将其交付至民族国家以实际执行入侵活动。 乌克兰控制系统之安全水平意外高于美国境内部分设施 无论如何，此次攻击成功影响到了乌克兰的发电设施，并给全球各国的诸多配电中心带来值得借鉴的重要启示，专家们表示。而更令人意外的是，乌克兰控制系统的安全水平高于美国境内部分设施，因为其拥有经过明确划分的控制中心业务网络并辅以强大的防火墙方案。不过最终，其仍然没能带来理想的安全保护水平——SCADA网络远程登录与用于控制电网的监督控制与数据采集网络并没有使用双因素认证机制，这使得攻击者能够在劫持到登录凭证之后顺利控制其中的断路器系统，从而达成令供电设施下线的最终目标。 另外，乌克兰境内的停电状态并没有持续太久：全部地区的停电时长在一到六小时之间。不过在此次攻击的两个月之后，控制中心仍然没有全面恢复运转，美国最近发布的一份报告指出。参加相关调查工作的乌克兰与美国计算机安全专家们指出，攻击者们覆写了16座变电站的关键性设备固件，这意味着这些设备将无法对来自运维人员的任何远程指令做出回应。虽然电力供给已经恢复，但工作人员仍然需要以手动方式控制断路器。 不过这样的结果其实还好，或者说要比美国设施遭受攻击后的表现更好，专家们表示。由于美国境内大多数电力供应控制系统根本不提供手动操作功能，这意味着一旦攻击者们破坏了其自动化系统，那么工作人员将很难找到可行的方式快速恢复供电。 攻击活动时间线 美国的众多机构正在帮助乌克兰方面开展攻击活动调查，其中包括FBI与DHS（美国国土安全部）。Lee与Michael J. Assante则从属于参与其中的计算机安全专家，二位在华盛顿特区的SANS研究所负责计算机安全教学工作，并计划发布一份与其当前分析工作