具有高度破壞性的惡意軟件至少感染了烏克蘭三個區(qū)域的電力設(shè)施，導(dǎo)致成百上千用戶家中斷電。

2015年12月23日發(fā)生的這起“斷電”事件導(dǎo)致烏克蘭伊萬諾弗蘭科夫斯克地區(qū)的一半?yún)^(qū)域停電。本周一，iSIGHT Partners 安全公司的研究人員表示，他們已經(jīng)獲取了相關(guān)惡意軟件的樣本。研究人員表示，該惡意軟件導(dǎo)致了“破壞性事件”，進(jìn)而引發(fā)斷電。如果得到最終確認(rèn)，該事件將是世界首例由惡意軟件而引發(fā)的大規(guī)模斷電事件。

[[161669]]

iSIGHT 公司網(wǎng)絡(luò)間諜情報部門負(fù)責(zé)人約翰·赫爾特奎斯特(John Hultquist)稱：“這是一個里程碑。我們之前在石油等能源行業(yè)內(nèi)的確發(fā)現(xiàn)過針對性的破壞性事件，但從未觀測到停電。一直以來的擔(dān)憂終于變成了現(xiàn)實。”

來自反病毒廠商 ESET 公司的研究人員已經(jīng)證實，烏克蘭多家電廠被某種名為 BlackEnergy(黑色能量) 的惡意軟件感染。這一惡意軟件包最初出現(xiàn)于2007年，并在兩年前得到過一次更新，增加了使受感染計算機(jī)無法啟動等能力。ESET 公司近期發(fā)現(xiàn)，該惡意軟件新近又得到了一次更新，增加了名為 KillDisk 的組件。該組件可以毀滅計算機(jī)硬盤的某些零件，可能還包括了破壞工業(yè)控制系統(tǒng)的新功能。 這一最新版本的黑色能量還增加了附帶安全 Shell 功能的后門，可以讓黑客持續(xù)訪問受感染設(shè)備。

“完全有能力”

如今，黑色能量主要被用于對目標(biāo)新聞機(jī)構(gòu)、電力公司和其它工業(yè)集團(tuán)從事間諜活動。盡管 ESET 公司并未明確肯定黑色能量導(dǎo)致了本次停電事故，但公司認(rèn)為該惡意軟件毫無疑問具備這種能力。 ESET 研究人員在周一發(fā)布的博客文章中寫道：

我們對烏克蘭幾家供電機(jī)構(gòu)中發(fā)現(xiàn)的 KillDisk 惡意軟件進(jìn)行了分析，結(jié)果表明，它們有能力制造斷電。然而，也存在其它的解釋。黑色能量后門和最近發(fā)現(xiàn)的 SSH 后門能夠讓攻擊者遠(yuǎn)程訪問受感染系統(tǒng)。在成功滲透入關(guān)鍵系統(tǒng)之后，從理論上來講，黑客不論使用兩個后門中的哪一個，都能夠?qū)⑾到y(tǒng)關(guān)閉。與此同時，KillDisk 破壞性木馬可以讓恢復(fù)更加困難。在過去的一年中，黑色能量背后的團(tuán)隊已經(jīng)逐漸加強(qiáng)了其破壞能力。去年年底，烏克蘭計算機(jī)應(yīng)急響應(yīng)小組發(fā)布報告稱，黑色能量附帶的 KillDisk 模塊在感染媒體機(jī)構(gòu)之后能夠?qū)е乱曨l和其它內(nèi)容永久丟失。ESET 報告，感染烏克蘭供電系統(tǒng)的 KillDisk 搭載了類似的功能，但針對更小體積的數(shù)據(jù)集。與此同時，KillDisk 在升級中增加了破壞兩個計算機(jī)進(jìn)程的能力，包括一個工業(yè)控制系統(tǒng)所使用的與串口轉(zhuǎn)以太網(wǎng)連接監(jiān)視器有關(guān)的遠(yuǎn)程管理平臺。

2014年，黑色能量背后的團(tuán)隊攻擊了北約機(jī)構(gòu)、烏克蘭和波蘭政府機(jī)構(gòu)，以及歐洲的各大敏感行業(yè)。iSIGHT 公司將該團(tuán)隊稱為 Sandworm(沙蟲)，它被認(rèn)為與俄羅斯有聯(lián)系。

ESET 表示，黑客使用嵌入 Office 文檔中的宏陷阱感染了烏克蘭電力部門。向數(shù)百萬人提供電力的工業(yè)控制系統(tǒng)人員會倒在如此簡單的社會工程學(xué)手段面前，如果情況屬實，這將十分令人痛心。目前人們還擔(dān)心，惡意軟件導(dǎo)致的斷電可能會導(dǎo)致大量平民的死亡。

烏克蘭當(dāng)局正在調(diào)查涉嫌這起事件的黑客。

盡管沙特最大的天然氣生產(chǎn)商在2012年也發(fā)生了破壞性惡意軟件感染時事件，但沒有影響生產(chǎn)的相關(guān)報道。iSIGHT 發(fā)布的報告代表著一個新時代的來臨，它對工業(yè)化國家的影響隨處可見。