去年12月份乌克兰电网被黑客攻击瘫痪，造成22.5万人的供电中断数小时。据供电信息分享与分析中心(E-ISAC)上周发布的报告显示，攻击者具备高度的组织化并且拥有丰富的资源支持，超过27家变电站的系统在这次攻击中被破坏。

 

攻击者早在六个月前就控制了乌克兰3家供电公司网络的一些系统，直到事发。更为甚者，当这3家公司正在努力恢复电力供应时，破坏性的恶意程序删除了大量的数据，以阻碍供电公司对事件的调查。据E-ISAC报告的参与方，安全公司 SANS Institute 的三名调查人员表示，这种行为与另外几起恶性入侵十分相似，如沙特的石油与天燃气巨头 Saudi Aramco 和 RasGas，还有索尼影业。

攻击者使用了多种方法以渗透这些能源企业的网络系统，如鱼叉式钓鱼攻击，携有恶意程序的微软办公文档以及臭名昭著的恶意软件“黑暗能量3”，还专门开发了能够关闭供电公司下属变电站的定制化恶意软件。不仅如此，乌克兰电力分配公司Kyivoblenergo的呼叫中心也成为攻击者的目标，令身受断电之苦的受害者很难上报自己的断电情况。

针对民用关键基础设施并造成物理破坏的网络攻击已不止一起，本月初发布的《威瑞森数据泄露摘要》披露，一家水厂在2015年被入侵，攻击者访问了这家水厂的控制系统，把下水道中的污水导入饮用水中，从而增加了水中的氯含量。

乌克兰政府因此事谴责俄罗斯当局，但E-ISAC报告并没有把此次攻击与任何组织和国家联系起来。E-ISAC只是称攻击者具备“高度组织化并且拥有丰富的资源支持”，并且使用了民族国家日益常见的攻击手法——KillDisk(杀死硬盘)，删除受害者硬盘上的数据。但调查人员反驳了关于此次断电“是攻击破坏而带来的副作用”的说法。

尽管SCADA网络环境会受到攻击的影响，但黑暗能量3和杀死硬盘均不包含能引起断电的组件。此次断电事故，就是敌人直接操作控制系统和供电公司的软件造成的。乌克兰这3家电力公司的供电系统有很多漏洞，如各种SCADA硬件的部署信息可以从互联网上得到，VPN通道没有实行双因子验证，另外高度的自动化电力系统控制也是这3家公司成为攻击目标的原因之一。

在长达六个月的时间里，攻击者收集了各种登录证书，并在一台又一台的计算机上提升权限，然后转向电网的控制系统，入侵SCADA系统的配电所。在这个阶段，攻击者勘查了受害者的网络，以判断该系统使用的工控硬件型号。

报告建议，关键基础设施机构要培训终端用户的信息安全意识，提醒类似白名单这样的技术并不足以抵御网络攻击。网络分段和目录划分，在未来还需要很长的普及过程。公司或机构，还应该评估VPN的访问权限，并只允许关键链接通过DMZ(非军事化区)。

基础设施防护者必须准备好面对高度针对性的、直接的打击，包括利用防护者自己的工控系统来攻击这些基础设施。没有什么能证明乌克兰电网的攻击事件，只是针对乌克兰。安全公司Tripwire一份最近的统计调查表明，几乎所有的高管人员都认为，网络攻击可以对系统造成物理破坏。

E-ISAC报告完整版下载地址：

https://www.esisac.com/api/documents/4199/publicdownload

(责任编辑：安博涛)