在2015年進入尾聲時出現一起特別的事件,烏克蘭的伊萬諾-弗蘭科夫斯克地區有數十萬戶住家,相當於當地一半的住宅,籠罩在無電力供應的黑暗之下。這起事件跟11月時烏克蘭民族主義分子在克里米亞半島進行破壞造成停電並沒有關係。根據研究人員表示,這次事件是由系統內的惡意軟體造成,導致12月23日出現6小時的電力中斷。
根據惡意軟體研究人員Robert Lipovsky,烏克蘭西部的電力公司Prykarpattyaoblenergo是唯一提供相關詳情的公司,而有兩家電力公司也受到類似惡意軟體的影響。
烏克蘭情報單位認為這起停電事件跟俄羅斯有關,因為兩國間正在進行軍事和政治上的鬥爭,調查指出是惡意軟體造成了這次的停電事件。網路安全專家Robert M. Lee在其文章中指出,「這惡意軟體是一個32位元的Windows執行檔,其模組化特質顯示這是個更加複雜惡意軟體的模組之一。」
不久後,Lee與趨勢科技的前瞻性威脅研究人員Kyle Wilhoit協調取得樣本,確認該惡意軟體具備抹除能力會損害受感染系統。在Lee的初步調查後不久,有許多分析及研究人員證實這些電力公司確實受到網路攻擊,讓此次事件成為第一起由惡意軟體引起的停電。
與其他分析及研究人員的見解一致,Wilhoit分享道:「我們看到第一起公開發布惡意軟體導致SCADA-資料蒐集與監控系統(supervisory control and data acquisition;SCADA)設備停擺的消息。令人憂心,下一個受害的是什麼產業?更增加了它的神秘感。」
「我們所知道的是,Prykarpattyaoblenergo的停電是由惡意軟體所造成。我們也知道這惡意軟體不僅針對Prykarpattyaoblenergo,至少還有一個烏克蘭的廣播公司。在目前看來,受害者似乎都在烏克蘭,沒有出現在其他的地方,」Wilhoit補充說明。
安全專家指出,事實上電力公司之前也出現過惡意軟體,稱為BlackEnergy,它在2007年第一次出現,幾年前更新加入更多功能。一個新增功能KillDisk可以讓受感染系統無法使用,並摧毀受感染系統的重要元件。值得注意的是,據報它能夠讓工業控制系統(ICS)陷入危險。
「KillDisk是新BlackEnergy攻擊活動的一部分,極有可能是透過帶有Microsoft Excel巨集文件的網路釣魚(Phishing)郵件送至預定受害者。一旦執行該檔案就會啟動第二階段,下載相應程式以在受感染機器能夠持續存在,」Wilhoit指出。
這並非BlackEnergy惡意軟體第一次與針對烏克蘭的攻擊掛勾。在2014年,根據電腦緊急應變小組回報,它的KillDisk模組對傳媒機構造成永久性的傷害,尤其是影片跟其他內容。同年,BlackEnergy幕後的Sandworm團隊也針對了北大西洋公約組織(NATO)成員,烏克蘭和波蘭政府,及歐洲眾多產業。經由趨勢科技威脅研究小組的進一步調查發現,該集團針對了以SCADA為主的受害者。
根據過去一周所收集的證據,研究人員小心翼翼地得到一個結論,導致烏克蘭停電的攻擊事實上跟Sandworm有關。到目前為止,已經成立了一個特別委員會並且還在進行分析及調查,尚未確切地確認是什麼造成此次事件,但安全專家早已經為此類事件提出警告。
Wilhoit補充說:「我們是否知道完全是由惡意軟體造成的?不。我們是否知道有其他惡意軟體跟此一事件有關?還沒。我們知道攻擊者是否為Sandworm嗎?並不。但我認為這並非最後一個與Prykarpattyaoblenergo事件相關的惡意軟體。我認為我們會在未來的日子裡看到更多跟此次事件有關的樣本,可能包括更多的BlackEnergy模組或第二階段工具。」
Wilhoit發表了一份研究報告來詳細說明SCADA設備的不安全性,加上了「SCADA系統環境可以實作基本的安全協定前,恐怕這類事情會變得更加普遍。」
@原文出處:First Malware-Driven Power Outage Reported in Ukraine
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。