从乌克兰电网事件看工控安全态势

一、背景介绍

目前，工控系统作为国家重点信息基础设施的重要组成部分，正在成为全世界最新的地缘政治角逐战场。诸如能源、电力、核等在内的关键网络成为全球攻击者的首选目标，极具价值。简要回顾工控系统安全史上的几起非常典型的、影响巨大的攻击事件，如图1所示。

图1：工控安全事件回顾

据统计，在刚刚过去的2019年全球各地工控安全问题事件数量逐步上升，报告数量达到329件，涉及包括制造、能源、通信、核工业等超过15个行业。网上***息可参考链接：

http://www.ankki.com/AboutNewsDetail_84_4591.html

面对日益严峻的工控安全问题，亟需从人员意识、技战术等多方面加深认识。下面我们从一个经典案例说起。

二、经典案例复盘—2015年乌克兰断电

在工控安全事件频发的今天，复盘经典案例有着以史为鉴的重大意义。

（一）乌克兰断电事件简介

2015年12月23日，当时乌克兰首都基辅部分地区和乌克兰西部的 140 万名居民遭遇了一次长达数小时的大规模停电，至少三个电力区域被攻击，占据全国一半地区。攻击背景是在克里米亚公投并加入俄罗斯联邦之后，因乌克兰与俄罗斯矛盾加剧，在网络攻击发生前一个月左右，乌克兰将克里米亚地区进行了断电。一个月后，乌克兰的Kyivoblenergo电力公司表示他们公司遭到木马BlackEnergy网络入侵，因此导致7个110KV的变电站和23个35KV的变电站出现故障，从而导致断电。

（二）攻击采用的技战术

本起著名的网络攻击采用鱼叉式钓鱼邮件手段，首先向“跳板机”如电力公司员工的办公系统，植入BlackEnergy3，以“跳板机”作为据点进行横向渗透，之后通过攻陷监控/装置区的关键主机。同时攻击者在获得了SCADA系统的控制能力后，BlackEnergy3继续下载恶意组件(KillDisk)，通过相关方法下达断电指令导致断电：其后，采用覆盖MBR和部分扇区的方式，导致系统重启后不能自举；采用清除系统日志的方式提升事件后续分析难度；采用覆盖文档文件和其他重要格式文件的方式，导致实质性的数据损失。这一组合拳不仅使系统难以恢复，而且在失去SCADA的上层故障回馈和显示能力后，工作人员被“致盲”，从而不能有效推动恢复工作。

攻击者在线上变电站进行攻击的同时，在线下还对电力客服中心进行电话DDoS攻击，最终完成攻击者的目的。如图2所示：

图2：攻击流程（来源于参考1）

（三）攻击载体主要组成

1、漏洞– CVE-2014-4114

该漏洞影响范围：microsoft office 2007 系列组件，漏洞影响windows Vista SP2到Win8.1的所有系统，也影响windows Server 2008～2012版本。XP不会受此漏洞影响。

漏洞补丁：漏洞于2014年的10月15日被微软修补。

漏洞描述：该漏洞是一个逻辑漏洞，漏洞触发的核心在于office系列组件加载Ole对象，Ole对象可以通过远程下载，并通过Ole Package加载。

漏洞样本执行情况：将漏洞样本投递到目标机上后，样本执行之后会下载2个文件，一个为inf文件，一个为gif（实质上是可执行病毒文件），然后修改下载的gif文件的后缀名为exe加入到开机启动项，并执行此病毒文件，此病毒文件就是木马病毒BlackEnergy3。至此，漏洞完成了“打点突破”的任务。

2、木马病毒–BlackEnergy3

在乌克兰断电事件中，病毒采用了BlackEnergy的变种BlackEnergy3。该组件是DLL库文件，一般通过加密方式发送到僵尸程序，一旦组件DLL被接收和解密，将被置于分配的内存中。然后等待相应的命令。例如：可以通过组件发送垃圾邮件、窃取用户机密信息、建立代理服务器、伺机发动DDoS攻击等。关键组件介绍：

1）Dropbear SSH组件

一个攻击者篡改的SSH服务端程序，攻击者利用VBS文件

启动这个SSH服务端，开启6789端口等待连接，这样攻击者可以在内网中连接到受害主机。

2）KillDisk组件

主要目的是擦除证据，破坏系统。样本运行后遍历文件进行擦除操作，还会擦写磁盘MBR、破坏文件，最后强制关闭计算机。

整个入侵后的状态如图3所示：

图3：入侵后的状态（来源于参考2）

这是一起以CVE-2014-4114漏洞及木马病毒BlackEnergy3等相关恶意代码为主要攻击工具，通过前期的资料采集和环境预置；以含有漏洞的邮件为载体发送给目标，植入木马载荷实现打点突破，通过远程控制SCADA节点下达断电指令，摧毁破坏SCADA系统实现迟滞恢复和状态致盲；以DDoS电话作为干扰，最后达成长时间停电并制造整个社会混乱的具有信息战水准的网络攻击事件。本次攻击的突破点并没有选择电力设施的纵深位置，也未使用0day漏洞，而是沿用了传统的攻击手法，从电力公司员工主机突破，利用木马实现攻击链的构建，具有成本低，打击直接、有效的特点。

三、安全思考

通过对乌克兰断电事件的复盘以及对当前工控安全现状的研判，工控系统网络安全现状也实在令人忧思。其原因主要从以下方面考虑：

1）工控系统环境中大量使用遗留的老式系统。

工控系统跟国家经济、政治、民生、命运紧密相连，但是大都存在年久失修、不打补丁、防御薄弱等问题，有的甚至还使用windows xp系统。一旦接入互联网或者局域网，就可能成为一攻就破的靶子，为网络攻击和病毒、木马的传播创造了有利环境。

2）工控系统设计时未考量安全因素。

很多工控系统中的应用程序和协议最初都是在没有考虑认证和加密机制及网络攻击的情况下开发的。设备本身在处理过载和处理异常流量的能力都较弱，攻击者通过DDOS会导致设备响应中断。

3）工控领域正成为各国博弈的新战场。

工控领域逐渐成为各国博弈的新战场，政治、经济利益驱动下使得工控安全呈现多样性和复杂性，攻防能力失衡。

本文既是对工控领域安全现状的思考，也是对攻防对抗技战法的复盘；既是学习，也是总结。感谢全球安全研究员为安全事业做出的不懈努力，共勉！

四、参考

1. http://www.ankki.com/AboutNewsDetail_84_4591.html

2. https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf

*本文作者：elvadisas，转载请注明来自FreeBuf.COM