工控安全事件典型案例-乌克兰电厂攻击事件

2016年1月4日,ESET公司发表文章称,乌克兰境内的多家配电公司设备中监测到的KillDisk,由此怀疑使用BlackEnergy后门,攻击者能够利用它来远程访问并控制电力控制系统。由于此事件是针对电力设备的攻击,对于国家关键基础设施的安全性具有非比寻常的意义,故存在巨大的风险。相关情况如下:本次攻击主要针对乌克兰电力部门,攻击者以钓鱼邮件方式,附带木马XLS文件,诱惑用户打开这个文件,从而运行木马,安装SSH后门,以便攻击者可以针对目标下发工业控制指令,必要时运行killdisk进行系统自毁,延长系统恢复时间。

此次事件中,BlackEnergy木马被用于损毁电力设备或放置后门,以便攻击者可以远程控制这些设备,进行跟多的攻击动作。

相关的危害性分析如下:

木马功能越来越强大该木马从2007第一次被发现到今天,软件作者频繁更新其功能,逐渐变得功能异常强大。

国内可能遭遇的危害:

之所以发生此次事件,是由于国外的电力设备有相当一部分都接入了互联网,攻击者得以通过邮件的形式诱骗工作人员,从而进入系统实施攻击。相比之下,国内大多工控设施及相关业务系统都采用了专网的形式或者与互联网隔绝,这在相当程度上阻止了此类事件的发生,但需要注意的是,在绿盟科技长年对于工控安全的研究中发现,移动存储设备时常成为木马入侵的途径之一,如果BlackEnergy木马通过这种形式感染业务系统设备后,完全有可能通过预置的攻击方案,对工控系统实施攻击,比如利用KillDisk损毁主机,这样控制系统重启过程中一旦无法读取配置,将导致整个系统停机。

本次攻击主要以邮件方式传播木马XLS文件,利用社会工程学,诱惑攻击者打开文件,运行木马,安装SSH后门,保证攻击者可以长时间控制被感染的主机。针对目标下发工业控制指令,必要时运行killdisk进行系统自毁,延长恢复时间。

基于目前绿盟科技工控系统安全专家的分析情况来看,已经启动了一套应付方案,随时可以帮助可会应对该事件,避免造成更大的风险和损失,这些方案包括:绿盟入侵防护系统(NSFOCUS NIPS)将在2016年1月16日发布产品规则升级包,包括567、568、569版本,用户升级后即可提供实时防护。

更多内容,可以查看《绿盟科技工控安全手册》(建议电脑查看)

查看链接:绿盟科技工控安全手册

 

发表评论