|
|
2015年冬天,乌克兰西部突然陷入黑暗,某州一半的人口失去电力供应。自从爆发局部冲突以后,停电已经是乌克兰人民最常见的“娱乐形式”,但这次却和以往有所不同:幽灵般的黑客潜入了电力供应系统,在千里之外切断了电网。
黑客进攻工业网络,这个可怕的梦魇终于扑向了现实。许多国家都三观颠覆,胆战心惊。他们要搞清的第一件事就是:这样的攻击究竟是怎么成功的?
一个excel引发的血案美国网络情报公司 iSightPartners最先拿到了攻击程序样本,并且从各种渠道流传出来。王得金拿到样本的时候,是事件发生的十天以后。王得金是一名工控安全专家,安全公司知道创宇旗下404实验室成员,他为雷锋网详解了这个攻击工具的奥秘。
造成了一百万人断电的元凶,是一个看上很普通的excel文件。然而你一旦打开它,就会亲手把魔鬼从瓶中放出来。它会悄无声息地释放一个下载器,前台风平浪静,后台却在暗流奔涌全速下载一套凶残的攻击程序。
【excel攻击文件截图 提示“由新版本 Office 创建,需要加载宏才可以查看”】
这个攻击程序就是臭名昭著的“暗黑能源”专为破坏工业控制系统量身定制的武器。有证据表明俄罗斯人曾经使用这个工具攻击过北约、波兰和乌克兰。
王得金发现:为了逃脱查杀,有人在攻击前一个多月对它进行了最新的变种编译。这一版的“暗黑能源”中整合了数十个强大的木马和病毒,其中包括“杀盘”(Killdisk)一个可以删除电脑中所有数据和引导信息的病毒。
这些木马病毒侵入了核心输电系统,合力切断了电网。并且由于磁盘全部被破坏,系统根本无法重启,以至于电网用了3-6小时才得以恢复运转。
有证据显示,黑客还同时攻击了乌克兰多个电网节点,但是并没有达到预期目标。也就是说,他们原本的计划,比实际呈现出来的效果还要凶残。更可怕的是:直到现在都没有人可以判断,究竟是什么组织进行了这次攻击。也就是说,黑客造成了如此巨大的破坏之后,居然还可以全身而退。
那么问题来了:如此可怕的攻击,是否会发生在中国呢?
如果工业系统被黑,会发生什么?有基本操守的国家都会对电力、能源等重要网络实行物理隔离。这些网络根本不会和互联网连通,仅仅通过远程渗透是无法进入的。然而事实证明,这并不妨碍美国黑客用“震网”病毒干掉了伊朗的核电站,也没有阻挡来路不明的组织撂倒乌克兰电网。
【时任伊朗总统内贾德视察核电站,红圈内的红点表示有两台离心机已经无故损坏,后证实为震网病毒所为】
他们是怎么做到的呢?
从伊朗的情况来看,美国把震网病毒放置在了某个核专家的U盘之内,而这位核专家也许为了方便,把U盘连到了核设施内部网络的主机上。业内“黑话”把这种行为称作“摆渡”。至于这个病毒是怎么进入专家的U盘之中,众说纷纭,其中最有趣的版本是:美国间谍在核电站周围撒了众多精美的U盘,而这位专家敲捡到一个。(这是一个教育我们不要贪小便宜的故事。)
可见,工业系统很难和外界完全隔离,因为总会有人有意无意破坏规则。而一旦发生违规操作,就会使得所有的隔离失去效果,破坏程序会抓住转瞬即逝的机会把自己“摆渡”进去。
【CNN展示:黑客通过入侵工控网络,让设备过载起火】
像这个视频中展示的一样,如果黑客进入了工业生产网络,就可以直接让设备过载报废。但这只是最没有技术含量的一种玩法。
理论上来说,恶意程序一旦进入工业或军事系统,就可以任意修改其中的指令,
如果进入工业生产网络,可以提高载荷造成机器毁坏,甚至可以关闭防护系统造成人员伤亡;
|
|
发表于 2016-1-30 16:17:13
收藏