乌克兰电力系统遭受攻击事件综合分析报告.pdf

乌克兰电力系统遭受攻击事件综合分析报告

安天

哈尔滨安天科技股份有限公司本版本更新时间2016/02/2411:30

文档信息

作者北京四方继保自动化股份有限公司首次发布时间2016/01/2114:30

复旦大学网络空间治理研究中心初稿完成时间2016/01/1817:30

安天、四方继保与复旦大学于2016年1月5日建立了联合分析小组（以下简称“联合分析组”），正

式启动对此次事件的分析；1月9日，完成事件相关样本基本分析；1月23日，完成初步分析报告，

并在中国计算机学会计算机安全专业委员会相关事件的研讨活动中进行分发；2月24日，报告最终

定稿发布。

背景介绍联合分析组根据对整体事件的跟踪、电力运行系统分析和相关样本分析，认为这是一起以电力基础

设施为目标；以BlackEnergy等相关恶意代码为主要攻击工具，通过BOTNET体系进行前期的资料采

集和环境预置；以邮件发送恶意代码载荷为最终攻击的直接突破入口，通过远程控制SCADA节点下

达指令为断电手段；以摧毁破坏SCADA系统实现迟滞恢复和状态致盲；以DDoS服务电话作为干扰，

最后达成长时间停电并制造整个社会混乱的具有信息战水准的网络攻击事件。

本文版权属于安天实验室所有。本着开放共同进步的原则，允许以非商业用途使用自由转载。转载

版权说明时需注明文章版权、出处及链接，并保证文章完整性。以商业用途使用本文的，请联系安天实验室

另做授权。

目录

1事件综述1

2电力系统原理及断电原因分析2

2.1电力系统概述2

2.2电力系统环节介绍3

2.3变电站自动化系统概述4

2.4攻击导致断电的方法分析7

2.5攻击全程分析8

3攻击组织及BLACKENERGY分析10

3.1SandWorm（沙虫组织）10

3.2BlackEnergy（黑色能量）10

3.3版本演进历史10

3.4攻击装备/组件介绍12

3.5历史事件及攻击对象回顾13

4相关样本分析15

4.1前导文档15

4.2DropbearSSH17

4.3KillDisk18

4.4硬盘破坏程度23

4.5可恢复程度测试24

5事件总结26

附录一：鸣谢28

附录二：相关样本HASH28

附录三：部分样本追影分析报告29

附录四：事件分析跟进时间点29

附录五：参考资料30

附录六：事件时间链与相关链接32

附录七：安天在工控领域进行的相关研究36

附录八：关于安天43

乌克兰电力系统遭受攻击事件综合分析报告

1事件综述

2015年12月23日，乌克兰电力部门遭受到恶意代码攻击，乌克兰新闻媒体TSN在24日报道称：

“至少有三个电力区域被攻击，并于当地时间15时左右导致了数小时的停电事故”；“攻击者入侵了监控

[1]

管理系统，超过一半的地区和部分伊万诺-弗兰科夫斯克地区断电几个小时。”

Kyivoblenergo电力公司发布公告称：