乌克兰网络攻击的教训和建议

2016年12月，乌克兰电网遭受网络攻击，导致首都基辅停电一小时。然而，攻击的范围远不止电网。这是一次系统性攻击，袭击了全国各地的关键政府和基础设施。

这次攻击最终与2015年12月袭击乌克兰电网的攻击非常相似。

但与2015年的网络攻击不同，2015年的网络攻击切断了全国27个配电运营中心，影响了乌克兰西部的三家公用事业公司，2016年12月的攻击袭击了输电级变电站皮夫尼奇纳，这是一个远程输电设施，并关闭了控制断路器的远程终端单元(rtu)，导致停电约一个小时。

霍尼韦尔工业网络安全实验室首席安全研究员玛丽娜·克罗托菲尔(Marina Krotofil)在接受ISSSource采访时表示:“乌克兰正在遭受一波巨大的攻击。”“没有一次袭击的目标是造成最大伤害。交互,是的。破坏,是的。但没有最大伤害。攻击者关闭了控制断路器的rtu。所以基本上rtu是脱机的，有一个命令说脱机并关闭。如果rtu不控制断路器，它们就会断开，这就是变电站与电网断开的原因。(袭击者)本可以做得更多，但他们没有。很快，rtu就上线了，一切都重建好了，不到一个小时，一切都恢复正常了。”

克罗托菲尔说，他们对谁做了这件事以及他们为什么这么做有一些理论，“但我们现在不能谈论这件事。”

“正如你从整个乌克兰看到的那样，电力公司只是画面的一部分。整个乌克兰都遭到了袭击。似乎在12月的这次行动中，并没有打算在任何地方造成最大的破坏。不管攻击的是什么，铁路、电力设施还是政府机构，都没有造成重大损失。”“我并不是说袭击者将来不会造成更大的破坏。”

比较两次攻击

通过与去年的对比，他们能够找出这两次袭击之间的关系。“从某种意义上说，这是独一无二的，它的风格与去年的其他攻击非常相似。你去找主持人，寻找相同的表情，你找到了。你可以清楚地认出它的风格，”克罗托菲尔说。

然后她又加了一句不祥的话。

克罗托菲尔说:“攻击组织显然变得更复杂、更有组织。”“与去年相比，此次袭击的复杂程度、准备程度和组织水平都显著提高。”

有时，由于现场缺乏技术，很容易攻击被认为不安全的地区，但皮夫尼希纳变电站的情况并非如此。

“这是乌克兰自动化程度最高的变电站之一，”克罗托菲尔说。“目前尚不清楚这是否是故意选择的，因为变电站上有很多YouTube视频。有很多宣传，因为这是一个变电站，刚刚升级与所有最新的自动化技术。虽然它运行着一些旧系统，但它是高度自动化的，上面有很多公共信息。”

乌克兰的袭击可以避免吗?

面对乌克兰基辅这样的电力设施遭到袭击，我们不禁要问一个问题:我们本可以做些什么来阻止这一事件的发生?

克罗托菲尔说:“他们不可能避免这次袭击，因为它非常有针对性。”“袭击者想要进去。”

任何专门的攻击者，只要资金充足，有时间和精力专注于特定目标，就很有可能成功。但这不是必须的。问题在于，制造商在其设施中实施安全计划才刚刚开始。

“现在整个世界都在从旧的基础设施到更新交换机，再到外围安全，这是启动安全的第一步。许多公司还处于起步阶段，但有些行业，如石油和天然气，则更为先进。这是一个非常缓慢的过程。

在这次袭击中，入侵者竭尽全力冲破防线。

她说:“一旦闯入者进入周边区域，他们就会试图尽快混入。”他说:“他们将获得一些合法凭证，然后开始使用这些合法凭证采取行动。一旦他们混进来，没有网络监控会显示你，因为你有合法的凭证，然后你必须开始做行为监控。

具体来说，在这种情况下，入侵者是确定要进入的，没有任何组织可以阻止这种类型的攻击。只有少数准备充分的组织才能阻止这类攻击。”

把日志

它比其他变电站拥有更多的现场技术，这是一个好处，因为调查人员能够进入并检索日志，开始取证过程。

“一些日志被清理，许多日志被收集，但问题是没有一个大型团队进行调查，所以收集大量日志需要时间，这就是为什么我们直到很晚才确认(这是一次攻击)，因为监督皮夫尼契纳变电站和其他地方的国家电力公司UkrEnergo，真的很想确保所有的日志都被分析过，这样就不会有任何遗漏，因为如果有任何说法，都会受到全世界的严厉批评或分析，这是他们想要避免的。”

对于2015年的攻击，从攻击的第一分钟开始，很明显这是一次网络事件，“因为攻击的第一步是通过人机界面执行的，操作员看到鼠标在他们面前移动，他们无法控制鼠标指针，”克罗托菲尔说。“今年，没有这样的直接证据表明这是一次网络事件，因为变电站只是离线。

乌克兰能源公司立即在脸书上宣布，这可能是技术故障，也可能是网络事故。我们只是不知道。今年1月，我们从政府那里正式确认了这是一次袭击。”

虽然克罗托菲尔没有透露是谁实施了这次袭击，但她确实表示，袭击者得到了一些外部经济援助，因为这是一场由经验丰富的人进行的长期袭击。

遍及全国的攻击

“这显然是乌克兰正在进行的攻击的一部分，因为乌克兰几乎所有政府机构都遭到了黑客攻击。所有在线资源、网页和网站都遭到了攻击。在乌克兰，这是一场声势浩大的战役;它仍在进行中。我的合作者在多个组织中进行了大量的调查，他们开始看到联系，并深入了解归因。我们不知道是哪个国家做的，但是很长一段时间以来，它一直是多个apt(高级持续威胁)，而且非常专业，不是为了经济利益，所以必须有人赞助这次活动。”

最重要的是，有一些非常聪明的专业黑客参与了这次活动。

“有15个政府组织。港务局，财政部，财政部长，国防部长，铁路部长，政府的关键基础设施。就像乌克兰的安全部门所说的，电力和铁路他们不受安全角度的监管，他们自己要对安全负责。任何政府在线资源，任何服务器，任何网站，我们都有一个部门，它们都经过了攻击测试和验证。任何架构和解决方案都由安全专业人员进行测试。因此，任何攻击这些领域的人都需要有时间和资源来找到绕过它的方法。这次进攻是精心策划的。

Krotofil说:“对于大多数组织来说，它做得很好，包括模仿官方网站页面，有一些被盗文件嵌入了带有签名印章的宏。”“这种情况没有发生在公用事业公司，但在其他组织中确实发生过。”

这次攻击花费了相当大的努力才能进入基础设施，融入基础设施并获得合法凭证。这是经过精心策划和研究的。攻击者花费精力和时间研究基础设施的所有细节。

攻击的协议

“重要的是要明白，”克罗托菲尔说，“这不是恶意软件攻击，而是一段代码进入并完成了所有工作。这是几个小组共同努力的结果。这次竞选很可能有幕后策划者。

“首先你要购买能力。例如，一个容器将带有恶意代码的宏传递到网络中，这些恶意代码稍后将调用命令和控制服务器。那是汉奇特。有一个网络犯罪集团维护着hanitor，这是一个容器，它可以避免被发现，并可靠地将恶意有效载荷传递给受害者组织，并呼叫回指挥和控制中心。你可以向网络犯罪集团购买这种能力，然后利用他们的专业知识。一旦完成，一组完全不同的人将在网络上执行手动侦察工作，如扫描网络，扫描漏洞，并找到易受攻击的主机。当您找到易受攻击的主机时，您将利用它并发布另一组工具。所以，这不仅仅是一个恶意软件，而是一场运动。在活动时间轴的每个步骤中都会使用多种工具。

“去年我们使用了Killdisk，但它是在活动的最后一步使用的。有很多不同的行为，很多人使用不同的工具，不同的恶意代码。随着他们的发展，有时他们会陷入困境，他们不得不为该组织创建专门的恶意软件，非常定制。今年对电网的攻击与去年没有什么不同。我的合作者分析了去年的时间线，他们展示了去年发生的事情的例子，比如有多少恶意代码被定制。攻击者了解了受害组织，并为受害组织编写了恶意代码。

“发送宏的容器中的恶意软件是疯狂的;这绝对是疯狂的，”克罗托菲尔说。“这是一群人，他们一直在努力提高集装箱的能力和可探测性。如果你隔两周看一下样本，它们有500次构建——500次——这表明有多少人参与了恶意软件的开发，以提高其不可检测性。犯罪集团正在提高他们的隐蔽性。”

攻击的反应

克罗托菲尔说，她从这次袭击中学到了很多东西，但不仅仅是技术和攻击方法，还有人们和政府的反应。

“关灯正成为一种标准做法。令人震惊的是，当去年灯光熄灭，有人故意关闭它们时，世界上没有一个政府站出来说，你们知道吗，这是对平民的袭击。这是一次军事袭击。任何可能造成人身伤亡的后果都是不行的。这是战争行为。没有一个政府站出来说这是战争行为。所以，当红线被越过时，每个人都觉得没关系。所以他们又把灯关了。如果停电的时间比医疗机构的备用电源还长会不会造成连锁反应?这可能造成人员伤亡。 This is not OK. This seems to be the new normal."

格雷戈里·黑尔是《工业安全与保安资源》(ISSSource.com)是一个新闻及资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com。Chris Vavra编辑，CFE Media制作编辑，控制工程，cvavra@cfemedia.com。

在线额外

请参阅下面链接的ISSSource关于IIoT的其他故事。

原创内容可在www.isssource.com。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。