原标题:新研讨暗示2016年乌克兰停电事情背面的潜在原因
据外媒报导,2016年12月,俄罗斯黑客在乌克兰国家电网运营商Ukrenergo的网络中植入了一种被称为Industroyer或Crash Override的歹意软件。而在圣诞节前两天的午夜,网络犯罪分子运用现已布置好的歹意软件损坏了乌克兰首都基辅邻近一个传输站的一切断路器,然后导致首都大部分地区断电。
尽管这起网络进犯引发了一系列问题,但却没有给出清晰的答案:首要,这次网络进犯的真实动机是什么?第二,为什么一个歹意软件能够如此强壮,它能够瞬间让整个城市进入漆黑之中,而一个小时后工厂的工人只需要翻开断路器就能修正?
对此,来自工业控制体系网络安全公司Dragos的研讨人员近来发布了一篇论文,他们在文中重建了2016年乌克兰断电的时刻线,期望能为寻觅上述问题的答案取得一些启示。在这篇题为《CRASHOVERRIDE: Reassessing the 2016 Ukraine Electric Power Event as a Protection-Focused Attack》的文章中,研讨团队梳理了歹意软件的代码并从头访问了Ukrenergo的网络日志。他们得出的结论是,有依据标明,黑客的目的是形成更大强度的物理损坏,假如没有几个月也会将停电时刻延长到数周乃至或许危及到现场工厂工人的生命。假如是这样的话,那么进犯基辅电力供应的歹意软件将仅仅别的两种歹意代码--Stuxnet和Triton的其间一种,这两种曾别离进犯过伊朗和沙特阿拉伯。
但是问题的本质则在于细节。文章作者、Dragos分析师Joe Slowik标明:“尽管这最终是一个直接的损坏性事情,但布置的东西和运用它们的次序激烈标明,进犯者想要做的不仅仅是把灯关掉几个小时。他们企图创造条件,对方针传输站形成物理损坏。”
更详细一点说,Joe和Dragos给出的理论暗示了黑客运用Crash Override发送主动脉冲来触发断路器从而运用由西门子出产的Siprotec维护继电器的一个已知缝隙。尽管在2015年发布了一个修正上述缝隙的安全补丁,但乌克兰的许多电网站并没有更新它们的体系,这就位黑客们翻开了一扇门,他们只需要宣布一个电脉冲就能让安全继电器在休眠状态下失效。
为了搞理解这点,Dragos查找了Ukrenergo的日志并将它所发现的信息的原始线程联系起来。他们第一次重构了黑客的操作方法,详细如下:首要,黑客布置了Crash Override;然后他们用它来处分基辅北部一个电网站的每一个断路器从而导致大规模停电;一个小时后,他们发射了一个雨刷组件然后使发射站的电脑无法作业并阻挠了对发射站数字体系的监控;身后,黑客损坏了该电站的4个Siprotec维护继电器,然后使电站简单遭到风险高频率电力的影响。
事实上,这一事情并没有继续到最后。尽管Dragos无法找到黑客方案失利的原因,但它置疑黑客的某些网络装备过错或现场作业人员在发现正在休眠的Siprotec继电器时做出的快速反应或许是抢救局势的原因。
责任编辑:
