复盘网络战:乌克兰二次断电事件分析
乌克兰,位于欧洲东部,东接俄罗斯,西欧洲诸国相连。从地缘政治角度来看,这个“桥梁国家”,不断受到俄罗斯与欧洲之间的权力争夺。从历史来看,显而易见,在经过两次大规模“颜 色革命”后,乌克兰经济元气大伤,沦为全欧最穷国。
纵观乌克兰的发展历史,在乌克兰境内发生的网络战争在世界范围内独树一帜,无论是国内反对派的网络攻击,或是邻国的网络攻击,均在不间断的进行中,据外媒报道,乌克兰已经沦为俄罗斯的网络战试验场。
其中,影响力最大的一次网络攻击事件,时至今日仍然活在各类文章引用中的经典攻击案例,莫属二次乌克兰断电事件。而本文将结合最新线索,回顾并分析该典型网络战役背后的真实目的。
乌克兰断电事件回顾
停留在大多数人记忆中的乌克兰断电事件,还是2015年12月23日的那起断电事件,当时乌克兰首都基辅部分地区和乌克兰西部的 140 万名居民遭遇了一次长达数小时的大规模停电,至少三个电力区域被攻击,占据全国一半地区。
而当初的攻击背景是在克里米亚公投并加入俄罗斯联邦之后,因乌克兰与俄罗斯矛盾加剧,在网络攻击发生前一个月左右,乌克兰将克里米亚地区进行了断电。
对于那次攻击,乌克兰的Kyivoblenergo电力公司表示他们公司遭到BlackEnergy[1]网络入侵,因此导致7个110KV的变电站和23个35KV的变电站出现故障,从而导致断电。
本次乌克兰断电事件中,攻击者首先通过“主题为乌克兰总统对部分动员令”钓鱼邮件进行投递,在受害者点击并启用载有BlackEnergy的恶意宏文档后, BlackEnergy在获取了相关凭证后,便开始进行网络资产探测,横向移动,并最终获得了SCADA系统的控制能力。
从而可以通过该系统,进行断路器操纵,并在攻击发生前,先使用KillDisk擦除入侵痕迹覆盖MBR和部分扇区的方式进行数据破坏,使得系统不能正常自启,阻止断电后的迅速恢复,此外据资料显示,Sandworm在发生攻击时还曾对客服中心发起dos攻击,阻止电力公司提前得知断电消息。
在做好以上准备后,断电攻击就此开始,这一断,“名流千史”。
攻击过程大致如下图所示[6]
事实上,在事件过去接近一年后,也就是2016年12月17日,乌克兰还发生了第二起断电事件,乌克兰国家电网运营商Ukrenergo的网络中被植入了一种被称为Industroyer或Crash Override的恶意软件,利用已经部署好的恶意软件破坏了乌克兰首都基辅附近一个传输站的所有断路器,从而导致首都大部分地区断电。
而这次停电持续时间并不长,仅数十分钟,受影响的区域是乌克兰首都基辅北部及其周边地区。也许是由于本次的攻击不够前一次的力度大,或者是乌克兰对于电力系统的应急响应速度提升了等级,因此 Ukrenergo工程师在将设备切换为手工模式便开始恢复供电,75分钟后完全恢复供电。
Sandworm组织分析
据ESET,Dragos等国外安全厂商研究表明,当初发起这两起电力系统攻击的APT组织,名称为Sandworm(沙虫),别名TeleBots,组织来自俄罗斯,据Dragos[3]称,发起第二起电网攻击的团队名为ELECTRUM,属于Sandworm的分支攻击团队。
而关于该组织所使用的网络武器方面,经过奇安信威胁情报中心红雨滴团队安全分析人员的深入关联分析,并结合ESET的分析报告[2],可知该组织曾经使用的有代表性的网络武器如下所示:
BlackEnergy,一个被各种犯罪团伙使用多年的工具。从一个DDoS(分布式拒绝服务)木马被Sandworm开发成一个拥有模块化结构的,整体架构十分复杂的恶意软件,专门用于进行入侵驻留等操作。
Industroyer,又名Crash Override[3],是一个由一系列的攻击模块(多达十个)组成的模块化结构恶意软件,其中便有著名的实现西门子 SIPROTEC 设备 DoS 攻击模块,可导致其中继变得无响应,也就是第二次乌克兰断网攻击的关键武器。
NotPetya,一个专门用于数据擦除的,并且可以利用”永恒之蓝”系列漏洞进行横向传播的勒索软件,于2017年6月乌克兰遭受NotPetya勒索程序大规模攻击。包括首都基辅的鲍里斯波尔国际机场、乌克兰国家储蓄银行、船舶公司、俄罗斯石油公司和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。实际上NotPetya波及的国家还包括英国、印度、荷兰、西班牙、丹麦等。
GreyEnergy,被称为BlackEnergy的继承者[4]。GreyEnergy的恶意软件框架与BlackEnergy有许多相似之处,各模块均通过组织确认后才进行下发,其中模块都用于间谍和侦察目的(即后门,文件提取,截屏,键盘记录,密码和凭证窃取等)。
KillDisk,其为一种流行于黑客界近十年之久的数据破坏类恶意软件,起初作为BlackEnergy的一个专用于进行数据破坏的插件,后来被安全人员发现与NotPetya存在关联。
2016乌克兰断电事件新线索
从前些章节可得知,关于乌克兰在2015年的断电攻击事件相对来说为世人所知,并且细节披露的非常多,而2016年的乌克兰断电事件无论是后续还有攻击过程,都少了些许细节以及真实攻击目的。
从各种资料可得知,乌克兰第二次断电事件虽然攻击入口仍然是电子邮件或社会工程学攻击为主,但执行断电操作不再是人工发起,通过恶意软件样本硬编码的触发攻击的时间戳表明,恶意软件是脱离攻击者控制后,会在指定时间自动启动攻击。
此外本次的攻击者对电网内的工业控制协议,传输协议异常熟悉,从Industroyer的代码中可以发现,其包含针对以下四个电网通信协议的攻击模块:
IEC 60870-5-101
IEC 60870-5-104
IEC 61850
OLE for Process Control(OPC) Data Access (DA)
以上为一些已知线索,通过工业控制系统网络安全公司Dragos近日发布了一篇文章表明,他们重建了2016年乌克兰断电的时间线,希望能为寻找上述事件的根本原因获得一些线索。
在这篇题为《CRASHOVERRIDE: Reassessing the 2016 Ukraine Electric Power Event as a Protection-Focused Attack》的文章[5]中,该研究团队重新分析并梳理了恶意软件的代码:
并重新访问分析了Ukrenergo电力公司的网络日志。
Siprotec保护继电器的Dos漏洞数据包
发起dos漏洞攻击的UDP包
最后得出结论:
Sandworm组织的意图是造成更大强度的物理破坏,可能计划将停电时间延长到数周到几个月的时间,甚至可能危及到现场工厂工人的生命。
Dragos分析师Joe Slowik表示:“虽然这最终是一个直接的破坏性事件,但部署的工具和使用它们的顺序强烈表明,攻击者想要做的不仅仅是把灯关掉几个小时。他们试图创造条件,对目标传输站造成物理破坏。”
在这起攻击中,Sandworm组织利用Industroyer(Crash Override)恶意软件,发送自动脉冲来触发断路器,进而利用由西门子生产的Siprotec保护继电器的Dos漏洞。
尽管在2015年该漏洞就已经发布了补丁,但是乌克兰的许多电力公司并没有更新系统,因此只需要发出一个电脉冲就能让保护继电器在休眠状态下失效。
研究人员通过日志复盘了Sandworm组织的攻击方式,具体如下:
首先,Sandworm组织部署了Industroyer(Crash Override)恶意软件;
然后他们用它来攻击基辅北部一个电网的所有断路器进而导致大规模停电;
一小时后,他们推出了一个擦除数据的组件,并禁用了传输站的计算机,并防止工作人员监控任何站点的数字系统。
只有到那时,攻击者才会使用恶意软件的Siprotec的Dos漏洞模块,攻击对抗四个站点的保护继电器,同时打算默默地禁用那些监控故障情况的安全设备,从而可以使得工作人员根本没办法发现故障原因。
Dragos分析师认为,其最终目的是让Ukrenergo工程师通过匆忙重新启动该站的设备来应对停电。
然后,通过手动操作,在没有保护继电器故障保护的情况下,它们可能触发变压器或电力线中的危险电流过载。潜在的灾难性破坏,将导致对工厂能量传输的破坏,从而可以比仅停电一个小时的时间更多。同时,它也可能会伤害在电厂的工作人员。
但是,综合日志分析,后续的攻击和策略并未施展开,也并没有达成Sandworm组织原本的意图:断电更长的时间,因此研究人员认为,这起攻击是一次失败的行动。
原因可能是黑客制造的网络配置错误,也可能用于Ukrenergo保护中继的恶意数据包被发送到错误的IP地址;或者是Ukrenergo运营商可能比黑客预期更快地恢复供电;也可能是即使Siprotec攻击成功,但备用保护继电器可能已经成功阻止了电量过载,这些原因在没有足够的现场证据支撑下都无法确认。
但无论如何,该攻击事件的执行顺序,代表了当时最终尚未成功执行的战术目标。
因为Sandworm组织已经预测到电力公司的反应,即他们会手动恢复断电,并试图利用这个细节来扩大物理攻击的破坏。虽然最终目的没有达到,但是得知真相的那一刻仍骇人听闻。
总结
总书记明确指出:“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标”。
这些基础设施一旦被攻击就可能导致交通中断、金融紊乱、电力瘫痪等问题,具有很大的破坏性和杀伤力。从世界范围来看,各个国家网络安全立法的核心就是保护关键基础设施。
而电力系统则更是关系着国家的命脉、社会的稳定发展以及人们的日常生活,对于网络安全必须加以重视。
从乌克兰二次断电事件来看,首先工作人员的安全意识不足,这是根,其次系统存在漏洞但是没有定期进行更新,这是祸,埋下祸根,网络攻击则必然成功。
在如今国际关系复杂时期,网络战已经成为国家之间网络对抗家常饭,其中对于关键信息基础设施应对,参考乌克兰断电事件可知,网军并不是非要获取到多少关于基础设施的秘密信息,而单纯就是想要破坏他,这也和Wannacry出发点一样,目的就是破坏。
因此,对于会造成破坏性行为的漏洞,同样务必加以重视,尤其是会造成Dos攻击,造成系统应用或设备无法正常工作的漏洞,能造成机械设备损坏的漏洞,毕竟这些漏洞,可以造成网络攻击抵达物理打击层面,对于远程精准打击将会是强而有力的战略举措。
奇安信威胁情报中心最后建议,电力公司应该组建专业的安全维护人员和安全运营团队,必须清楚地了解各个工控协议的使用状况,才能更好的识别网络异常流量从而及时告警,并且对于网络控制的设备,例如继电器,断路器这类会严重影响系统正常运作的设备,务必做好防护措施,并在每个细节做到安全,从而抵御境外势力网军的APT攻击。
参考链接
[2] https://www.welivesecurity.com/2018/10/11/new-telebots-backdoor-linking-industroyer-notpetya/
[3] https://dragos.com/wp-content/uploads/CrashOverride-01.pdf
[4] https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/
[5] https://dragos.com/wp-content/uploads/CRASHOVERRIDE.pdf
[6] https://www.nerc.com/pa/CI/ESISAC/Documents/E-ISAC_SANS_Ukraine_DUC_18Mar2016.pdf