网络攻击导致乌克兰停电,报告确认
一份报告证实,网络攻击在乌克兰的伊万诺 - 弗兰克(弗兰科 - 弗兰克(Frankivsk地区)陷入乌克兰伊万诺 - 弗兰克(Frankivsk地区的一半左半部分,对黑暗中的几个小时有责任。
根据SANS研究所的工业控制系统(ICS)团队的报告,攻击被认为是网络攻击的第一个有关电源中断的网络攻击示例。
“我们根据公司陈述,媒体报道和第一手分析评估了高度信任,这事件是由于协调故意攻击,”迈克尔阿萨兰特·伊施特·伊斯兰州主任迈克尔阿萨兰特州。
ICS团队的分析揭示了攻击者证明了规划,协调和使用恶意软件和可能的直接访问来扰乱电力基础设施的能力。
还有证据表明攻击者能够通过擦拭用于收集数据和控制配电的计算机系统来延迟电力服务的恢复。
初始报告称,攻击者被认为已经使用使用的Clackenergy特洛伊木马部署了一个由研究人员称为“Killdisk”的破坏性组件。
研究人员表示,这个KillDisk组件旨在擦除具有随机数据的特定文件类型和破坏的文件类型和破坏工业控制系统,并覆盖可执行文件。
分析师现在认为恶意软件只是攻击的若干组成部分之一,而且杀戮机构组件本身并没有导致中断。
报告称,有证据表明攻击者的直接互动,攻击包括拒绝对系统控制器的观点,并试图否认向客户呼叫报告的客户呼叫。
已知至少有一个受影响的电力公司用手机线经历了技术失败,干扰了接收客户的呼叫。
该报告确认,对多个区域分销电力公司进行协调攻击,包括Prykarpattyaoblenergo和KyivoBlenergo。
仅攻击KyivoBlenergo的攻击被认为将力量降至80,000个房屋,这是电力公司转向手动操作以恢复服务。
虽然时间表尚不清楚,但报告确认,攻击者能够使用恶意软件访问生产控制系统,感染工作站和服务器,工作站和服务器上的损坏控制系统主机,并阻止对客户呼叫中心的呼叫。
据报道称,虽然对Blackenergy和Sandworm团队的恶意软件活动有关这一事件的坚实联系,但不能假设从该活动的其他活动中恢复的文件都参与了这一事件。
“由于他们的链接到更大的活动,分析师应该注意不要夸大对恶意软件样本的目前分析。简单地说,仍有证据表明尚未被揭露,这可能反驳了攻击恶意软件部分的特定组成部分的细节,“Sans ICS报告说。
然而,尽管没有证据没有证据或其杀戮地区的停电的直接原因,但没有迹象表明Blackenergy感染依赖于Booby陷入困境的Microsoft Office文件来传播这种攻击,但该报告表明Blackenergy仍然是一个关键成分。
“我们目前评估恶意软件允许攻击者在目标实用程序中获得立足点,打开命令和控制,并通过提供对网络的访问和必要信息来促进攻击的规划。报告称,恶意软件似乎已被用来擦除剥夺SCADA [控制]系统的使用以拒绝使用SCADA [控制]系统,以放大攻击的影响,并且可能会延迟恢复。“
该报告指出乌克兰公用事业人员在回应攻击和恢复其权力系统时的“主管行动”,但总结说乌克兰的停电证明了一个现实,即由多个元素组成的协调网络攻击是其中一个预期危害电力行业现在面临。
报告称,“我们需要学习和准备自己从这些活动中检测,回应和恢复这些事件。
Tim Erlin是Tripwire的安全主管,表示,行业专家一直在谈论网络攻击如何长时间可以直接影响电网,因此它现在不应该是一个惊喜。
“讨论威胁不计入缓解。能源公司需要投资于从控制系统到公司的基础设施。投资不仅仅是关于购买产品。这是关于人,技能和过程。他说,购买最新的安全装置很容易与培训安全人员有效相比,“他说。
Erlin指出,包括BlackEnergy,包括Blackenergy,需要感染矢量来实现目标。
“攻击者几乎总是占据最少阻力的路径。今天,这意味着公布的漏洞,错误配置和网络钓鱼诈骗。这些都是我们可以解决足够资源的安全问题,“他说。
Erlin表示,将这种威胁视为能源部门问题是短暂的。“任何依赖工业控制系统的行业都存在风险。他说,任何网络设备导致世界造成物理变化的行业都是这些动态网络攻击的目标。“