有一種痛只有烏克蘭才懂。

2015年12月23日，烏克蘭首都基輔部分地區(qū)和烏克蘭西部的 140 萬名居民突然遭遇了一次大停電，這次停電的罪魁禍首是黑客。

沒想到，時隔一年，今年12月17日，烏克蘭的國家電力部門又遭遇了一次黑客襲擊，這次停電了 30 分鐘。

據(jù)外媒CBS報道，黑客向電力公司的員工發(fā)送了一封帶附件的郵件，將登錄證書偷到手后，又奪取了電站系統(tǒng)的控制權(quán)，切斷了近 60 個變電站的斷路器。

為了處理停電問題，發(fā)電站的工程師必須將發(fā)電站的設(shè)備切換到手動模式。相關(guān)技術(shù)人員花了 30 分鐘左右的時間讓發(fā)電設(shè)備的功率恢復(fù)正常，徹底解決所有問題則用了 75 分鐘。

元兇是 BlackEnergy 的馬甲

雷鋒網(wǎng)(公眾號：雷鋒網(wǎng))曾對此次斷電事件進行過報道，并發(fā)現(xiàn)同款惡意軟件已經(jīng)流入美國，引起了美國主流媒體的恐慌。

在2015年對烏克蘭電站的攻擊中，黑客利用欺騙手段讓電力公司員工下載了一款惡意軟件“ BlackEnergy ”。1月10日，綠盟科技安全團隊告訴雷鋒網(wǎng)，通過對2016年烏克蘭電站第二次被黑的惡意代碼進行分析，發(fā)現(xiàn)本次事件的攻擊者是 Telebots 組織，該組織與 BlackEnergy 組織有關(guān)，而電腦安全軟件公司的博客文章提到，攻擊烏克蘭電網(wǎng)并致其停運的 BlackEnergy 組織現(xiàn)如今似已更名TeleBots，目前該黑客組織已經(jīng)將目標轉(zhuǎn)移到了烏克蘭銀行。

也就是， Telebots 組織和 BlackEnergy 組織“換湯不換藥”。幾乎被同一元兇黑完一次又一次，這種烏克蘭的憂傷你可懂?

一氣呵成地入侵

雖然，綠盟科技的專家 W 在接受雷鋒網(wǎng)的采訪時稱，Telebots 組織攻擊烏克蘭電站的目的暫時并不明確，但攻擊手法卻被摸得一清二楚，同時尚未在我國發(fā)現(xiàn)同款惡意軟件。

電力系統(tǒng)是由發(fā)電、輸電、變電、配電和用電連接成的統(tǒng)一整體，在整個電力系統(tǒng)中，幾乎每個環(huán)節(jié)都依賴計算機技術(shù)的支撐，比如各級電網(wǎng)調(diào)度控制中心的計算機系統(tǒng)、變電站的計算機監(jiān)控系統(tǒng)等。

國內(nèi)變電站是完全隔離的局域網(wǎng)，不與公網(wǎng)連接，將變電站內(nèi)的區(qū)域通過防火墻分隔成了安全I區(qū)和安全II區(qū)，即實時生產(chǎn)控制區(qū)，可以直接控制電力一次設(shè)備的運行，非實時控制區(qū)，如電能量計量系統(tǒng)，故障錄波管理系統(tǒng)等;而國外的變電站可以通過辦公區(qū)以 VPN 等形式接入變電站的內(nèi)部網(wǎng)絡(luò)。

這意味著，國外變電站的內(nèi)部網(wǎng)絡(luò)可以通過辦公區(qū)域入侵，雖然，W 告訴雷鋒網(wǎng)，并不清楚 2016 年12月下旬烏克蘭電站被黑最初是通過哪一級員工的電腦，但是作案兇器已經(jīng)找到，并分析了入侵路徑。

【作案兇器——惡意軟件詳細樣本】

【入侵路徑】

W告訴雷鋒網(wǎng)，與一般 APT 攻擊類似的是，攻擊者先通過給電站員工發(fā)送帶有惡意附件的的郵件，員工下載后，釋放了相關(guān)文件，從電站網(wǎng)絡(luò)的服務(wù)器下載了后門文件。

狡詐的是，這個被下載了的xls文件通過運行文檔中的宏代碼，將可執(zhí)行文件釋放到臨時目錄“C:\User\xxx\AppData\Local\Temp”，并命名為“explorer.exe”，假裝自己是一個無害文件來隱藏自身。

實際上，這個文件是一個下載器，可以從電站網(wǎng)絡(luò)從服務(wù)器下載文件并執(zhí)行。同時，值得注意的是，這個域名是一個允許任何人下載和上傳文件的托管網(wǎng)站——也要怪電站安全做得不好，把大門敞開面向了黑客!

上述步驟創(chuàng)建了一個 lsass.exe 文件，這個文件就是用來接收服務(wù)器的指令，執(zhí)行不同的功能。此刻，攻擊者進“門”后只有一個目標，獲取管理員權(quán)限，控制電站系統(tǒng)。

于是，隨后如上圖所示，惡意軟件進行了一系列操作，部署額外后門防止被網(wǎng)絡(luò)發(fā)現(xiàn)，收集瀏覽器和網(wǎng)絡(luò)數(shù)據(jù)中的關(guān)鍵賬號和密碼信息……，并不斷將竊取到的信息發(fā)送到自己的郵箱。

在一步步提升自己的權(quán)限后，KillDisk 組件具備了關(guān)機和修改系統(tǒng)目錄文件的權(quán)限，最后成功地清除系統(tǒng)扇區(qū)，刪除重要的系統(tǒng)文件，對特定類型的文件內(nèi)容進行覆蓋，結(jié)束系統(tǒng)進程，致使系統(tǒng)崩潰，無法修復(fù)。

綠盟科技研究團隊指出，通過代碼跟蹤分析，發(fā)現(xiàn)了最后關(guān)鍵一步的 KillDisk 組件的一個變種，可以運行在多種平臺上。

這意味著，攻擊者利用該變種文件不僅可以攻擊 Windows 上位機控制的 SCADA/ICS 系統(tǒng)，也可以攻擊Linux上位機控制的SCADA/ICS系統(tǒng)。目前該變種文件已經(jīng)被作為 Linux 系統(tǒng)的勒索軟件，勒索贖金為222個比特幣，折合人民幣1729875元(現(xiàn)在比特幣漲價了，可能會更多吧!)。

綠盟科技研究團隊還分析出，發(fā)現(xiàn)該惡意軟件樣本會連接兩個 IP 地址：荷蘭和俄羅斯。這意味著俄羅斯黑客的罪名要坐實了?

攻擊者的攻擊路徑會被反推獲取攻擊者的信息嗎?W認為，攻擊者一般都是通過暗網(wǎng)，經(jīng)過了跳轉(zhuǎn)，當然，如果追蹤技術(shù)高超，是可以找到最終的幕后黑手的。

這意味著，實際 IP 是否真的是這兩個，就要看你相不相信俄羅斯了。