深度报道:乌克兰如何会沦为俄罗斯的网络战试验场

发表于:2017-07-31 16:33:09 来源:  FreeBuf.COM 阅读数(0人)



当WannaCry勒索病毒余波未尽时,Petya又让欧美告急,乌克兰全国沦陷。作为此次网络攻击的重灾区,乌克兰政府宣称其所受到的攻击规模“前所未见”,而俄罗斯国家黑客就是攻击的“幕后黑手”。两年前的乌克兰电网攻击事件还历历在目,余惊未息,俄罗斯黑客暗影又再次袭来。乌克兰近年遭受的多次大规模网络攻击间接与俄罗斯相关,多方专家声称乌克兰已经成为俄罗斯进行网络攻击的试验场。《连线》记者安迪·格林伯格(Andy Greenberg)围绕乌克兰两次电网攻击事件,以基辅安全分析师、美情报机构前雇员和SANS高级研究员为采访主线,侧面揭露乌克兰如何成为专家口中的“俄罗斯网络战试验场”。


突如其来的停电事故

2016年12月的某个周六晚上, 40岁的网络安全专家沃勒克斯·亚辛斯基(Oleksii Yasinsky)所在的小区突然停电了。此前,他和老婆孩子一家人正在电视上观看奥利弗斯通的电影《斯诺登》。


亚辛斯基老婆开玩笑地说道:“可能是黑客不想让我们看完电影吧”,她指的是2015年圣诞节前两天,乌克兰电力网络受到黑客攻击导致停电,影响二十多万户居民的事件。老婆的话并没让亚辛斯基有一丝笑意,作为基辅某安全公司首席分析师,他深知这并不是没有可能。他扫了一眼桌子上的闹钟,时间刚好指向午夜零点。


房间的电视机与备用电源相连,屏幕上闪烁跳跃的图标画面照亮了整个房间。电源插线板不知怎的开始嗞嗞作响,亚辛斯基起身关闭按钮,房间霎时陷入沉静。


他走进厨房,拿出一把蜡烛各自点上,然后走到厨房望向窗外。此刻,外面的景象是他从来没有看到过的:整个小区完全陷入黑暗,只有天边灰暗的余光从阴沉的天空洒下来,把地面的现代公寓和苏联老式高层建筑勾勒得像一堆焦黑的残骸。


离2015年12月的电网攻击事件已过去一年左右,但在亚辛斯基心里,他明显觉得今天应该不是正常停电。黑暗和外面近在眼前的寒冬让他心绪沉重,在没有电力供应的情况下,不断降低的温度会把水管慢慢冻住、暖气供给停止,数千万家庭的温暖即将被吞噬。


在过去10多个月亚辛斯基发现自己似乎正处于一场危机漩涡中心,越来越多的公司和政府机构都相继找他协助分析一些网络攻击事件,而且这些网络攻击大多都是一系列快速且影响严重的破坏性攻击。经他分析调查,一支黑客团队可能是这些攻击的幕后黑手。此刻,难以抑制而又偏执的想法划过亚辛斯基脑海:这些黑客又出现了,他们通过网络,遁入无形,跨过门窗,像幽灵一样出现在他的家中。


俄罗斯对乌克兰发起网络战的历史缘由

几十年来,网络预言家就一直发出警告,黑客行为将会超越单纯的制造数字混乱,最终将对现实世界造成真正物理破坏。2009年,“潜入”伊朗核设施的NSA震网病毒(Stuxnet)对数百台离心机的加速破坏,预示着网络武器新时代的到来。


美国前NSA和CIA局长迈克尔·海登在一次演讲中透露,震网病毒的出现就像1945年的原子弹核爆一样,某些人使用了新型武器,打开了潘多拉魔盒,从此便进入了一发不可收拾的状态。


现在在乌克兰,那些原先只存在人们脑海中典型的网络战场景已经悄然而至,对现实生活造成影响。未知攻击者曾在不同时间点发起过两次电网攻击,造成停电事故导致成百上千家庭陷入黑暗,每次停电将会持续数小时,直至手忙脚乱的工程师进行手动电源切换。这种攻击已经从概念性证明方面开创了先例,几十年来的噩梦恍然成真:黑客操控现代社会已经成为现实。而这一切背后,似乎都有着俄罗斯的影子。


停电仅只是黑客对乌克兰发起网络闪电战中的一部分。在过去三年里,一支黑客部队已经对乌克兰全国几乎各行业都发起过系统性的网络攻击,媒体、金融、运输、军事、政治、能源等,这种大规模持续性的网络攻击在全世界任何一个地方都不曾发生过。一波接一波的黑客入侵,造成了数据被删除、电脑被破坏,甚至让一些组织机构基本运转都陷入瘫痪。长期关注网络安全的的北约大使肯尼斯·杰尔斯(Kenneth Geers)说:“黑客在乌克兰无孔不入,几乎找不到一片能免受网络攻击的净土!”。


在去年12月的一份公开声明中,乌克兰总统波罗申科(Petro Poroshenko)称,在过去的两个月,发生了6500次针对36个乌克兰目标的网络攻击。虽然一些国际网络安全专家由于缺乏明显指向克里姆林宫的证据而停止了调查,但波罗申科却非常肯定地说:“据乌克兰自己调查发现,这些攻击间接或直接与俄罗斯联邦安全局有关,俄罗斯已经向乌克兰发起了网络战!”。而对此,俄罗斯外交部却不予置评。


在该问题上,如果要明白这些网络攻击背后的实质意义,就必须对当今的地缘政治有所认知,也助于我们了解俄罗斯与与西方最大邻国的独特关系。长久以来,俄罗斯一直认为乌克兰是俄沙皇帝国的合法组成部分,也是俄罗斯与北约势力之间的战略缓冲地带,当然还是通往欧洲的一条利益通道,这里还与俄罗斯仅有的几个温水港接壤。基于这些种种原因,以大国心态自居的俄罗斯世代以来都极力想把乌克兰变成自己的“跟班小弟”。


但是,在过去十多年间,俄罗斯对乌克兰的控制和影响逐渐弱化,乌克兰国内支持北约和欧盟的呼声持续高涨。2004年,乌克兰国内爆发橙色革命,大批民众抗议俄罗斯干涉乌克兰总统选举。也就是在那一年,俄罗斯特工曾试图毒杀亲西方的乌克兰总统候选人维克托·尤先科。历经十年,2014年的乌克兰亲欧革命,最终导致有俄罗斯支持背景的总统亚努科维奇下台。(亚努科维奇多年的前政治顾问Paul Manafort现曾为川普的竞选团队主席)


后期,俄罗斯军队迅速吞并克里米亚半岛南部,并入侵了顿涅茨东部俄语系地区。此后,乌克兰一直与俄罗斯处于不宣而战状态,导致国内近200万难民流离失所和1万多人伤亡。


从一开始,这场战争的主旋律便是数字化的网络攻击。2014年,乌克兰革命后的总统选举最后关键时刻,被称为CyberBerkut的亲俄黑客组织通过入侵操纵乌中央选举委员会网站,恶意宣传右翼组织总统候选人德米特里·雅罗什(Dmytro Yarosh)获胜,幸亏网站管理员在选举结果公布前一小时就检测到了网站篡改情况。此次攻击拉开了俄罗斯网络战试验的序幕,一系列频繁的网络攻击瞄准乌克兰接踵而来,一度在2015年秋达到白热化阶段并愈演愈烈。后经证实,CyberBerkut与后期入侵美国民主党委员会(DNC)的俄罗斯国家黑客组织APT28有关。


曾于2005年至2010年担任乌克兰总统的维克多·尤先科表示,俄罗斯的互联网战略目的只有一个,那就是“破坏乌克兰国内局势,使乌克兰政府陷入瘫痪状态”。他还坚定地认为,停电事故、网络攻击、俄罗斯在乌克兰媒体的大肆造谣行为、乌东部的恐怖主义活动和他自己数年前遭遇的毒害经历都是俄罗斯一手制造的事端,目的就是让乌克兰政权崩坍。带着一脸曾遭化学中毒遗留下的伤疤,他说:“俄罗斯永远不会把乌克兰当成一个主权独立的国家来看待,虽然苏联时代已于二十年五年前就解体了,但俄罗斯始终还患有帝国主义综合症”。


但很多国际网络安全分析师对乌克兰遭受的黑客攻击“疫情”有着更深入的看法,他们认为:俄罗斯正在把乌克兰当作网络战试验场,以完善和构建全球网络战的新形式和新秩序。而俄罗斯在乌克兰多次引爆的“数字化爆炸物”也曾被植入到美国民用基础设施的信息系统中。


黑客利用BlackEnergy和KillDisk的试探性攻击

2015年10月的一个周日早晨,正在家吃早餐的亚辛斯基突然接到单位电话,那时他正担任乌克兰国内最大的电视广播集团-星光传媒公司(StarLightMedia)信息安全主管。在来电中,公司IT管理员说,两台服务器在半夜突然下线,但现在已从备份中恢复运行。但亚辛斯基感觉这不正常。他说,“如果只是一台服务器,还说得过去,但两台服务器几乎同一时间就突然宕机了,这值得怀疑”。


就别想着过周末了,亚辛斯基匆忙离开家,坐了40分钟地铁赶到公司。之后,亚辛斯基和IT部门同事对其中一台受损服务器内置的磁盘镜像作了检查。他们发现服务器硬盘主引导记录区被一串0字节代码精准重写覆盖。毫无疑问,这两台服务器被入侵攻击了。由于这两台服务器用于公司内部的域控制器托管,具备管理控制公司内部网络数百台计算机的高权限。此刻,发生这种麻烦情况非常令人不安。


之后亚辛斯基发现,这次网络攻击比预想的更严重:攻击者通过这两台服务器向星光传媒13位雇员的笔记本电脑中植入了恶意软件,这些受感染电脑同样受到了主引导记录重写攻击,而此时,传媒公司员工正在准备全国地方选举相关的晨间电视新闻简报。


幸运的是,亚辛斯基通过公司网络日志发现,其域控制器似乎在攻击发生后不久就提前自动断开连接了,否则200多台公司计算机将会受到攻击影响。但很快,亚辛斯基听说同行媒体公司TRK就没那么幸运了,他们受到了同样方式的网络攻击,并且有100多台计算机被入侵感染。


亚辛斯基设法从公司网络中提取出了一份攻击所利用的恶意程序,带回家进行分析。经过仔细的代码逆向分析,他发现,该恶意程序具备精巧的混淆加壳功能,实现了对所有杀毒软件的免杀,并且还伪装成了另一款安全软件Microsoft Windows Defender。在家人熟睡后,亚辛斯基把分析相关的逆向代码全部打印出来放到厨房的地板和桌子上,用彩笔和交叉线着重标记那些隐蔽字符和命令,试图找出恶意程序的真实面目。对于亚辛斯基本人来说,他有着20年的大型网络管理和信息安全工作经验,并曾成功阻止和防御了数次黑客攻击,但在此之前,他却从未分析和见识过如此精良的网络武器。


拨开重重迷雾,亚辛斯基发现,该恶意程序属于一种流行于黑客界近十年之久的数据破坏类恶意软件KillDisk。为了弄清楚黑客入侵公司网络系统的具体方式,亚辛斯基和两位同事利用晚上和周末的时间对公司网络日志进行了深入的比对分析。最终,黑客的指纹数据水落石出:数个被入侵控制的Youtube账户,以及属于某位生病请假IT管理员所有,但现仍然在用的登录凭据。综合这些线索,亚辛斯基和同事发现了一个恐怖的事实:在攻击发生之前,黑客已经潜伏于公司网络系统长达6个多月!黑客最终将向计算机系统植入一个全功能木马BlackEnergy,以实现持久驻留控制。


很快,亚辛斯基很多政府机构和公司同行纷纷反映,他们所在单位也遭受了严重的网络攻击,而这些攻击方式都如出一辙。就连乌克兰最大的铁路公司Ukrzaliznytsia也难于幸免,还有多家亚辛斯基不愿透露的企业。接下来,黑客发起了一波接一波的网络攻击浪潮,BlackEnergy用来入侵控制,KillDisk用来破坏硬盘数据。虽然黑客动机成谜,但基踪迹却似乎无处不在。


亚辛斯基说,“我们每向前深入研究一步,隐藏在水面下的冰山就会逐渐显露,可以算是越深入,越恐怖”。即便如此,亚辛斯基还是难于窥见真正的攻击威胁规模,就比如2015年12月,黑客再次利用事先植入计算机系统的BlackEnergy和KillDisk,致使乌克兰三个主要电力公司陷入瘫痪,造成乌克兰全国大面积停电事故。




罗伯特·李的发现

一开始,罗伯特·李(Robert Lee)认为这是松鼠的错。


这是2015年的平安夜,也是罗伯特·李(Robert Lee)打算在家乡亚拉巴马卡尔曼举行大婚的前一天。蓄有一头红发和大胡子的罗伯特·李刚刚从三个字母的美国情报机构离职,在那里他曾专注于关键基础设施的网络安全研究。而现在,他打算安定下来创建自己的安全公司,并与在国外结识的德国女友完婚。


正当李忙于筹备婚礼时,他看到新闻头条声称黑客攻击了乌克兰西部的某电站,导致乌全国大面积陷入了六小时的停电。而李此前曾听闻过多次电网受黑客攻击的虚假案例,在乱遭遭的婚礼前夜,他完全不把这个新闻当回事。发生此类停电事故,最有可能是啮齿类动物或飞鸟造成的,在业内甚至有这么一个玩笑:松鼠对电网的威胁比黑客还大。


然而,就在婚礼当天,李收到了来自SANS高级安全研究者麦克·阿桑特(Mike Assante)的短信,在短信中,阿桑特向李透露,乌克兰电网黑客攻击事件貌似是真的。在电网信息安全领域,阿桑特可以算是全球的权威专家,李开始觉得此次停电事故非同寻常。


刚刚举办完婚礼仪式,李在乌克兰的一个公司联络人也通过短信告知他:黑客电网攻击事故是真的,现正需要李的帮助。对于长期职业生涯专注关键基础设施网络安全研究的李来说,真正派上用场的时候到了。他走出宾客的恭贺,还来不及脱下婚礼礼服,就急忙在一个安静的角落与阿桑特进行短信沟通。


李最终偷偷溜出了宴会厅,来到父母家的台式电脑前,与正在爱达荷州参加圣诞聚会的阿桑特在线交流。他们一起对乌克兰地图和电网路线进行查看后,发现三家受攻击的电网公司变电站都分布于乌克兰不同地区,各变电站之间相隔数百英里且网络系统互不相连。松鼠可没这本事,李暗自兴奋。


就像几个月前星光传媒受攻击后亚辛斯基所做的那样,当晚,李就在电脑前忙着分析乌克兰联络人从受攻击电网公司取样并发给他的KillDisk恶意软件样本。李幽默地说道:“还好,我娶了一个非常有耐心的妻子”。几天后,李收到了一份攻击所使用的BlackEnergy源码和取证数据。这些线索显示,攻击者开始时冒充乌克兰议会人员发送钓鱼邮件,当受害者收到这些邮件后,其中的恶意Word附件将会执行一个BlackEnergy木马植入脚本,实现对受害者计算机系统的感染控制。以此为突破口,攻击者深入传播渗透,最终入侵了电网公司某个用于远程办公内网接入的VPN系统,而要命的是,办公内网中运行有远程操控断路器等电网控制设备的工控软件。


在梳理了攻击者使用的技术方法后,李发现这些手法竟然与臭名昭著的黑客组织-沙虫(Sandworm)惊人相似。沙虫组织主要针对工控系统为目标,曾于2014年对波兰能源公司和乌克兰政府机构发起了入侵攻击,后被火眼公司(Fireeye)曝光,因其攻击利用代码中多次引用了科幻小说沙丘(Dune)中沙虫肆虐的干旱星球哈肯尼(Harkonnen)和亚瑞克斯(Arrakis),故被命名为“沙虫”。


没人知道沙虫组织的具体意图,但所有迹象表明其幕后黑客为俄罗斯人:火眼公司发现沙虫的某个独特入侵技术来自于一位俄罗斯黑客的会议报告,另外,火眼通过反向入侵,接管了沙虫组织某个不安全的C2服务器后发现,该服务器中存放了俄语版的BlackEnergy木马使用说明和其它大量俄语文件。


让美国安全分析师不安的是,沙虫的入侵攻击竟然蔓延到了大西洋一岸。2014年初,美国政府通报黑客在美国电力和水利设施中植入了BlackEnergy木马,结合政府的证据,火眼再次见识了沙虫的攻击威胁。综合这些信息,李发现此次乌克兰电网攻击和2014年美国电力公司受攻击中都出现了相同的恶意软件,这两起入侵攻击事件可能为同一黑客组织所为。


乌克兰的圣诞停电事故已经过去几天了,阿桑特认为把这种攻击事件归罪于任何黑客组织甚至是政府势力都可能为时过早。但在李的脑海中,警报已经响起。此次乌克兰电网攻击事件绝不仅仅是一个千里之外的异国案例,“对手其实早已把目标越界瞄准了美国能源设施,并且已经入侵了一个电网公司”,李说道,“对美国来说,这已经是一个迫在眉睫的威胁”。


美方调查团队的乌克兰之行

几个星期后的一个寒冷冬日,来自美国FBI、DHS、DOE(能源部)和北美电力可靠性协会(NERC)的调查团队抵达基辅,入住在圣索菲亚大教堂附近的凯悦酒店。之后,这些美方人员都将深入电网攻击事故区开展调查。


同时,FBI也从怀俄明州把阿桑特作为专家顾问邀请到了乌克兰。由于李比较固执,坚持认为FBI应该马上公布攻击事件细节,所以没在受邀之列。


调查开始第一天,所有人衣冠楚楚集中在一个干明亮洁净的会议室内,同来的还有三个受攻击电网公司之一的Kyivoblenergo相关人员。接下来的几个小时里,Kyivoblenergo公司高管和工程师详述了他们的网络系统如何遭到了一场复杂而深入的攻击:正如李和阿桑特之前发现的那样,恶意软件中没有包含任何能够实际控制断路器的命令。12月23日下午,一切都没有任何征兆,Kyivoblenergo公司员工突然无奈地看到,几乎可以横跨马萨诸塞州地区大小的数十个变电站的断路器不知如何被纷纷开启,而控制命令似乎来自于其公司内网所属计算机。


事实上,在停电事故后,经Kyivoblenergo工程师确定,攻击者早已在电网公司某台偏远的控制系统PC内植入了远控软件,之后,由此恶意软件发起了切断供电的命令。这些断路器一旦开启,成千上万的乌克兰人电力供应就被切断。随后,黑客发起了第二阶段攻击,他们通过数周时间研究,重写变电站服务器机柜内用来执行以太网和固件设备通讯的串口转换器(Serial to Ethernet Connector),这种硬件代码重写技术将使转换器设备完全瘫痪,导致电网管理者无法对断路器作出进一步操作控制。坐在会议室桌子旁聆听讲述的阿桑特,对这种攻击的彻底性心生感叹。


入侵之余,黑客也不忘实施他们的恶行,利用KillDisk破坏公司大量内网电脑数据,但其中数对变电站电源备份系统的破坏最为恶毒。就这样,当地区供电被切断后,变电站本身也掉电了,当危机发生时,变电站也陷入了无边际的茫茫黑暗中。黑客以这种精准打击的方式,让乌克兰处于层层黑暗之中。


“站在黑客角度,他们似乎想要让人觉得,看看,我能让你到处都这种,这里,这里,这里,还有这里……,他们就要制造出这种可以控制一切的效果。所以,你可以想像,作为电网管理者来说,这种情况下该有多么不知所措”,阿桑特说道。


当天晚上,调查团队飞往坐落在喀尔巴阡山脉附近的乌克兰西部城市伊万诺-弗兰科夫斯克(Ivano-Frankivsk)。在满天暴风雪中,飞机缓慢降落在一个小型的苏式机场。第二天,调查团队继续奔赴此次受攻击最为严重的电力公司Prykarpattyaoblenergo总部。


在附近满是废弃燃煤电厂若隐若现的烟囱包围下,电力公司高管客气地把美国人招呼进了他们的现代化办公楼内。进入会议室,大家围坐在一张长条形木桌旁,墙上映入眼帘的是一大幅中世纪战争相关的油画。


接下来的攻击描述大多与Kyivoblenergo公司的情况相差无几:BlackEnergy木马、固件被重写、电源备份系统被破坏、KillDisk。但在此次行动中,攻击者还采用了另一种方式:创建虚假电话对电力公司呼叫中心进行连续的电话呼叫攻击,目的可能是为了延误用户的停电通知或是制造出另外的混乱。


还有另外一个不同之处。当美国人问,是否像基辅Kyivoblenergo公司那样,黑客通过远控软件发送命令切断电源,Prykarpattyaoblenergo工程师说没有,因为公司的断路器被黑客通过另外一种方式开启。此时,Prykarpattyaoblenergo公司高个子技术主管开始插话进来,他没有通过翻译向美国人解释黑客的攻击方法,只是用他破旧的iPhone 5s向大家展示了一段他自己拍摄的视频。


56秒的视频片段显示了电力公司操控室内一台电脑的光标在不断移动,指针移动到断路器图标处,然后单击命令打开。可以看到,视频中与三星显示器相连的鼠标并没有被人为移动,而其屏幕光标却自动在桌面上来回移动,最终停留在一个110KW断路器上试图执行电源切断操作。而房间内的工程师则非常疑惑地询问这到底是谁在进行操作。


黑客并不像攻击Kyivoblenergo公司那样,利用自动化软件或受控主机发送电源切断指令,而是通过入侵了公司的IT服务帮助台工具(helpdesk tool),直接对变电站控制系统鼠标进行操控。这种攻击方式下,电网管理者的用户界面和系统操作将被锁定限制,展现在他们眼前的是一只只幽灵鼠标对多个电路断路器进行开启,而这些断路器共同控制了该地区的电力分布。


亚辛斯基的新工作

2016年8月,距离圣诞停电事故已有8个多月,亚辛斯基辞去了星光传媒(StarLightMedia)的工作。他认为,在现在的传媒行业,从某种意义上来说,要保护一家公司免受来自乌克兰社会各阶层的冲击,目前的状况有些难堪。为了与黑客们保持同步,他需要重新审视自己的职业生涯。而当面对“沙虫”等复杂无耻的黑客组织时,亚辛斯基认为乌克兰也需要一些更加强势和连贯的回应。


因此,亚辛斯基选择在基辅的ISSP公司(Information Systems Security Partners)担任分析取证总监,虽然公司不怎么出名,但亚辛斯基在这里负责针对网络攻击的应急响应服务。


亚辛斯基换工作不久后,果然不出所料,乌克兰再次遭受了一波更广泛的攻击,乌克兰退休基金部、国家财政部、海港管理局、基础设施部、国防部和财政部都纷纷中招。而且,黑客再次攻击了乌克兰铁路公司,让正值旅游旺季期间的订票系统瘫痪数日。就像2015年那样,此波攻击最终在受害系统硬盘上激活了KillDisk病毒,造成众多机构大量数据被严重破坏。以财政部为例,黑客使用逻辑炸弹删除了包括下一年度预算在内的近百万兆字节数据信息。总之,与去年的攻击相比,黑客此次发起的冬季攻势取得了“完美”胜利。


黑客袭来:变电站值班员的恐怖之夜

2016年12月16日晚,当亚辛斯基和家人围座在客厅观看电影《斯诺登》时,年轻的工程师奥列格·萨切科(Oleg Zaychenko)正在基辅北部的Ukrenergo变电站内值夜班。当班时间已过去4小时,萨切科坐在一间老旧的苏联时代控制室内,淡黄色墙壁,硕大一个从地板顶到天花板的操作控制台。变电站的虎斑猫阿扎(Aza)不知跑哪去了,陪伴萨切科的只有角落里那台反复播放MTV的电视。


这貌似又是一个平静如常的周六晚上。正当萨切科在纸上填写值班日志时,变电站的警报突然响起,震耳欲聋,不断持续。萨切科发现,右边控制台上的变电系统电路状态灯已从红色变为绿色,用电气工程师的话来说,它已经处于停机状态。慌乱之际,他赶紧拿起左边的黑色座机通知Ukrenergo总部管理者,此时,控制台上另一个状态灯又突然变为绿色。霎时,萨切科的心都提到了嗓子眼上,他急忙向电话那头的管理者语无伦次地解释着这个意外状况。一排排的状态灯仍然在不停忽闪:一个接一个地,红变绿,红变绿,10个,12个…。


随着危机升级,管理者命令萨切科赶紧去外面检查变电设备是否受到物理破坏,正当此时,控制台最后一条电路落闸了,控制室天花板上的灯突然熄灭,电脑和电视也瞬间掉电了。萨切科急忙拽起一件大衣披在蓝黄相间的制服上,冲门而出。


变电站运转的电器设备占地20多公顷,有十几个足球场那么大,通常来说,就像走入了一片茫茫无边且嗡嗡作响的丛林。但当萨切科走入寒冷夜空时,外面的气氛变得比以往更加恐怖:排列在楼旁负责首都五分之一供电量的三个大型变压器变得无比安静。直到一阵嘀嘀的电子设备自检声才让萨切科回过神来,当他跑过一堆堆瘫痪的电器设备时,脑海中认过一个念头:黑客再次来袭!


电网大杀器CrashOverride

这一次,黑客没有对负责输电线路调配的配电站下手,而是把目标对准了乌克兰电网的循环控制系统,直接击中电网要害。萨切科所在的那个基辅变电站可以承载200兆瓦的电力传输,超过2015年被黑客攻击的50多个配电站电量总和。幸运的是,在造成当地民众恐慌和大面积受冻之前,Ukrenergo工程师通过手动检修闭合线路,让光明重现,黑暗仅仅持续了不到一小时。


此次短暂的停电事件虽然算是2016年不具威胁的黑客攻击,但一些安全公司事后分析认为,此次攻击比2015年更为高级:黑客使用了一个高度复杂且通用的恶意软件执行主要攻击,而这个恶意软件就是现在被称为电网大杀器的自动化程序CrashOverride。


罗伯特·李的关键基础设施安全初创公司Dragos,是完整分析了CrashOverride代码的两家公司之一。Dragos从斯洛伐克安全公司ESET获得了一份CrashOverride样本,两家公司都发现,在攻击过程中,CrashOverride竟然能用电网的模糊控制系统协议语言进行“通信交流”,因此可以直接向电网设备发送执行命令。相比黑客在2015年攻击中所用的“幽灵鼠标”和远控技术,该恶意程序能通过编程实现内网拓扑探测、预定时间运行和准时打开电路等强大功能,甚至还不会产生任何与黑客的回连控制。换句话说,这是自Stuxnet以来,在野生网络中发现的第一个专门针对物理基础设施进行系统破坏的恶意软件。


另外,CrashOverride不只是针对乌克兰电网的一次性利用工具,据研究人员介绍,它是一种可重复使用且适应性极强的电力设备中断武器。在CrashOverride的模块化结构中,乌克兰Ukrenergo公司的控制系统协议很容易被替换成欧洲或美国地区使用的电力通信协议,从而针对其它目标发起攻击。


霍尼韦尔公司(Honeywell)工控安全研究员玛丽娜·克罗菲尔(Marina Krotofil)也对乌克兰Ukrenergo公司的电网攻击事件作了分析,她认为黑客这一次比2015年发起的攻击更为简单有效,“2015年,他们就像一群野蛮的街头战士,但2016年,他们就变为忍者了”,克罗菲尔说道。而且,这些黑客可能为同一组织,据Dragos研究员不对外公布的分析结果显示,CrashOverride的作者来自于沙虫黑客团队(Sandworm)。


对罗伯特·李来说,Sandworm团队的这种不断演变进化进程令人不安。在他巴尔的摩的Dragos办公室外,远处隐约可见一排架设有输电线的电缆塔,李告诉我,它们负责为18英里外的华盛顿特区供电。


罗伯特·李指出,确切迹象表明某个黑客组织已经把关键基础设施作为目标,并且具备相应的攻击能力。他们不断改进完善攻击技术,并成功在美国电网系统中植入过BlackEnergy木马。“专业人士都知道,美国电网一样会受到攻击”,李说。


李还认为,对沙虫黑客团队来说,美国电网可以算是一个更明显或合适的攻击目标。尽管美国电力公司更重视网络安全,但其运行系统比乌克兰更自动化、更现代化,而这就意味着存在更多的数字化“攻击面”,并且,美国的电气工程师相对缺乏一些停电检修动手经验。


没人知道,沙虫将如何实施下一场攻击,但其目标可能不再会是配电站或变电站,而是实际的发电厂,攻击目的可能也不是简单的停电而是直接破坏摧毁。2007年,那时麦克·阿桑特还在的爱达荷州国家实验室研究团队测试表明,对电网的黑客攻击可以形成致命伤亡:在称为Aurora的实验中,简单的数字命令就能彻底破坏一台2.25兆瓦的柴油发电机,实验视频显示,客厅大小的发电机最终在一阵噗噗声和烟雾中歇火报废了。这种发电机与实际变电站内发送数百兆瓦的设备大致相同,在经过某种方式的漏洞利用后,攻击者就能关闭发电设备或是对变电系统骨干网络造成大规模的致命性破坏。李说,“国家支持的黑客团队花两个月时间进行相关研究和攻击,就能让华盛顿特区陷入黑暗”。


事实上,ESET对恶意软件CrashOverride分析后发现,CrashOverride已经具备了某种类型的破坏能力。ESET研究人员指出,CrashOverride代码中包含了针对某种西门子设备的攻击代码,该设备广泛应用于电站中输电线和变压器的危险电涌防护。一旦CrashOverride对这种防护措施发起攻击,将会对电网硬件设备造成永久性破坏。


乌克兰电网攻击事件对美国的影响

对黑客来说,一个孤立的物理破坏事件并不是他们想要实现的效果。就像现在安全社区的热门话题–APT(高级可持续威胁)一样,高级别的入侵者并不是为了破坏而攻击,他们的目的是对目标形成潜伏控制。李说,美国基础设施遭到这种持久性攻击的场景曾一次次出现在他的噩梦中:交通网络、排水管道或电网系统被主要对手一次又一次地摧毁。他说:“如果黑客对多个地方发起攻击,那么整个地区将可能会陷入上月的停电荒。美国一半主要城市停电一个月会是什么效果,那简直无法想像”。


乌克兰事件也会引人深思,像俄罗斯这样的对手是否会对美国电网下手?毫无疑问,攻击美国电网设施将是对美国最直接最严重的打击方式。一些网络安全分析师认为,俄罗斯的网络攻击目标是为了限制美国自身的网络战发展策略:让基辅停电无非是向美国表明,我们一样可以入侵你美国电网。莫斯科似乎在向美国发出震慑警告:千万别想对我俄罗斯或叙利亚等盟友国实施类似震网病毒(Stuxnet)的攻击,否则,我们将会以牙还牙。


但对曾经在情报机构见惯了这类战争游戏的李来说,他认为如果莫斯科的某些立场被逼到墙角,如在乌克兰或叙利亚的军事利益遭到美国干涉威胁,那么作为报复措施,俄罗斯很有可能会发起对美国基础设施的网络攻击。“就像军事干预一样,当你对我的空投能力造成干扰时,我就要给你点颜色看看”。


北美电力可靠性协会(NERC)首席安全官马库斯·萨克斯(Marcus Sachs)说,美国电力公司已经从乌克兰的受害事件中汲取了教训。在2015年的乌克兰电网攻击事件发生后,NERC开始路演会议,向各电力公司灌输网络安全理念,提醒他们需要加强基本的网络安全措施并且关闭一些关键设施的远程访问功能。“很难保证我们就是绝对安全的,因为接入设备都存在风险,可以说任何毫秒级的崩溃都将造成不稳定威胁”。


但对于那些一直关注沙虫组织(Sandworm)将近三年的安全研究者来说,拉响对美国电网的攻击警报不再是谎报军情。首次曝光沙虫组织的火眼公司(FireEye)研究总监约翰·霍特奎斯特(John Hultquist)表示,狼已经来了。“我们已经看到该攻击组织具备强大的停电攻击能力,并且还对美国的相关控制系统非常感兴趣”,霍特奎斯特说。



亚辛斯基持续对沙虫组织进行关注研究

亚辛斯基的公司ISSP( Information Systems Security Partners),一栋坐落在工业园区内的低矮建筑,被一个泥泞的运动场和数座破败的苏式灰色高楼包围着。亚辛斯基坐在一间光线稍暗的办公室内,一张圆桌上摆满了六尺长的标有复杂节点和连接的网络图,每张图都代表了沙虫组织的一个攻击时间线。从星光传媒公司到现在,他对沙虫组织的关注研究已有近两年时间。


亚辛斯基说他现在尽量保护平常心态来看待那些入侵攻击乌克兰的黑客,但提到4个月以前那场让他们家遭遇停电的电网攻击,他还是显得异常激动,“就像被抢劫了一样,当你觉得自己的私人空间都受干扰时,这完全就是一种违法行为”。


亚辛斯基说,在持续升级的网络攻击活动中,没法确切知道到底有多少乌克兰机构已经或正在成为受害者,任何数目都可能被低估,还有一些不愿公开承认的秘密受害者,和那些未发现自己被入侵攻击的。


在ISSP会议室,亚辛斯基向我们透露,黑客已经发起了新一轮网络攻击,他们已经从一波钓鱼邮件中捕获了一些新型的恶意软件样本。亚辛斯基注意到,这些攻击似乎遵循一定的季节规律:年初的几个月,黑客会找准目标,进行隐蔽渗透和据点建立;年末,黑客便会执行他们的攻击载荷。亚辛斯基表示,在2016年的电网攻击中,黑客其实已经为2017年底的攻击作好准备了。


乌克兰已经成为俄罗斯的网络战试验场

亚辛斯基觉得,黑客每年就像在认真准备一场期末考试一样,而在黑客的宏伟计划中,乌克兰在过去三年就像一个被拿来就用的试验场。他用一个更贴切的俄语来形容攻击者的意图:Poligon(练兵场)。亚辛斯基发现,黑客在攻击最疯狂时期本可以走得更远,但却只是浅尝辄止,如他们还可以进一步对财政部备份数据下手,或对Ukrenergo变电站造成更长时间停电或永久性破坏攻击。这一点,罗伯特·李和阿桑特同样也注意到了。“他们就像在逗我们玩一样”,亚辛斯基说。在每次实现最大程度的破坏后,黑客会选择撤退,像是为后续的攻击积攒实力。


许多全球网络安全分析师都得出了同样的结论。在克里姆林宫势力范围影响之地,训练培养克里姆林宫黑客军团莫过于是一种最好的练兵方式。“来吧,取下你们的手套,在这里你们可以不惧任何报复或制裁,为所欲为!乌克兰不像法国或德国,甚至很多美国人都不了解,你们可以尽情在此操练”,北约大使肯尼思·杰尔斯(Kenneth Geers)用这种半开玩笑的口吻解释道。


伦敦大学国王学院的战争研究系教授托马斯·里德(Thomas Rid)认为,在这种容易被忽视的阴影下,俄罗斯不断寻求突破其技术极限,也不断对国际社会的容忍度底线提出考验。“俄罗斯干涉乌克兰选举无果后,接着又对德国、法国和美国都来整一遍。他们就像在探究别人的底线一样,得寸进尺,蹬鼻子上脸”。


尾声

下一步将会如何?在灰暗的ISSP实验室里,亚辛斯基表示他也无从而知。有可能又是一场大停电,或是对水利设施的定向攻击。他也坦率地说道,“你可以充分发挥你的想象力”。


逐渐的落日余晖透过百叶窗,把亚辛斯基的脸映衬成一个黑色轮廓。“网络空间并不是目标本身,它仅只是一个媒介”,他说。是啊,这个媒介四通八达,连接到每一台代表着现代文明的各种机器设备上。


相关新闻

大家都在学

课程详情

信息安全基础

课程详情

网络安全漫谈

课程详情

网络安全基础