2024年4月29日发(作者:甄钰)
:/
DOI10.7500AEPS20160202101
第
40
卷
第
7
期
2016
年
5
月
10
日
Vol.40No.7Ar.10
,
2016
p
乌克兰停电事件引起的网络攻击与电网信息安全防范思考
童晓阳
,
王晓茹
InferenceandCountermeasurePresuostionofNetworkAttack
pp
inIncidentonUkrainianPowerGrid
SchoolofElectricalEnineerin SouthwestJiaotonniversit Chendu610031 China
ggg
U
yg
()
西南交通大学电气工程学院
,
四川省成都市
610031
TONGXiaoaniaoru
yg
WANGX
1
乌克兰停电事件网络攻击过程及电网薄
弱环节分析
近两年来
,
中国提出了能源互联网的发展战略
,
已开展了许多相关基础性研究
.
能源互联网可认为
、
是由传统电力系统
(
一次系统与二次系统
)
分布式
能源
、
通信网络等混合组成的具有互动性的电网物
理信息系统
,
其中信息安全是保证能源互联网健康
发展的重要基石
.
乌克兰电网遭受的停电事
2015
年
12
月
23
日
,
件展示了黑客攻击电网的实际威力
.
根据乌克兰国
家安全局事后分析
,
它是由一起有组织的黑客攻击
行为造成的
.
初步查明
,
黑客采用多种网络手段对
乌克兰国家电网进行了攻击
,
如植入了被称为
()
实安装了名为
K
即
D
的清除型恶意软
illDiskisakil
件
,
其设计目标在于删除计算机中磁盘驱动器内的
数据
,
并导致系统无法重启
,
但是乌克兰方面还无法
解释受到
KillDisk
恶意软件攻击与发电站跳闸停电
之间的直接关系
.
中国金山安全反病毒实验室第一时间从各渠道
采集到乌克兰停电事件中的
B
并
lackEner
gy
样本
,
示了
BlackEner
gy
入侵目标主机的过程
.
首先黑客
直接或通过傀儡机收集被攻击用户的邮箱
,
定向发
://
做了相应的分析报告
(
参见
httwww.admin5.
p
///).
该报告展
comarticle20160114642816.shtml
送含恶意文件的邮件
,
无安全防范意识的用户打开
了带宏病毒的文档
,
该文档伪装为微软
USBMDM
“”
的恶意软件
,
导致发电厂跳闸断电
,
BlackEner
gy
并且
,
乌克兰地区多家电力公司同时遭受了拒绝式
服务攻击
,
使各大电力公司的呼叫支持中心不堪重
负
,
阻断电力运营商以远程控制方式对受感染系统
实施的应急工作
.
国外信息安全专家
John
中受到了不同程度的损害
.
事实上
,
在这次乌克兰
网络攻击停电事件之前
,
国外已有多起遭到恶意攻
击的报道
.
1.1
乌克兰停电事件中网络攻击过程
对于此次事件主要攻击手段
,
到目前为止的报
道是
,
乌克兰计算机紧急响应小组
(
已
CERTGUA
)
确认收到来自安全厂商
E
认定确
SET
给出的报告
,
收稿日期
:
2016G02G02
.
上网日期
:
2016G02G05
.
Rootkit
使用某线程注入系统关键进程
svchost.
,
后者开启本地网络端口
,
以
HTexeTPS
协议主动
连接外网的主控服务器
,
黑客在该连接成功后发指
令下载黑客工具或插件
,
这样用户机器被渗透攻击
成功
,
这个攻击过程见图
1
中的红线部分
(
攻击路
.
然后黑客远程控制实施了后续具体攻击
,
径
①
)
通
过网络传播病毒
,
删除计算机上的文件使其瘫痪
,
并
通过网络穿透各种通信协议
,
从某台工控机向断路
,
器发出了跳闸命令
(
如何做到这点尚无具体报道
)
并且黑客在攻击过程中清除了所经过计算机上的痕
迹
,
使事后较难追踪到其攻击路线
.
另一种黑客运用的攻击手段
,
可能是黑客事先
在几个月前就通过某种方式在被攻击对象的局域网
中植入了木马病毒
,
比如通过发送带有木马病毒的
邮件
,
或者通过工程师的调试电脑把病毒下载到某
台计算机上
,
时隔几个月后该病毒启动并与外界取
://
httwww.aesGinfo.com
pp
但缺乏数字签名
,
用户运行了恶意
Driver
驱动文件
,
安装程序
,
它释放和加载
Rootkit
内核驱动
,
Hultuist
称
,
BlackEner
qgy
之前先后曾攻陷过美国
和欧洲的电力供应商
,
使这些欧美国家在攻击事件
1
()
2016
,
407
2024年4月29日发(作者:甄钰)
:/
DOI10.7500AEPS20160202101
第
40
卷
第
7
期
2016
年
5
月
10
日
Vol.40No.7Ar.10
,
2016
p
乌克兰停电事件引起的网络攻击与电网信息安全防范思考
童晓阳
,
王晓茹
InferenceandCountermeasurePresuostionofNetworkAttack
pp
inIncidentonUkrainianPowerGrid
SchoolofElectricalEnineerin SouthwestJiaotonniversit Chendu610031 China
ggg
U
yg
()
西南交通大学电气工程学院
,
四川省成都市
610031
TONGXiaoaniaoru
yg
WANGX
1
乌克兰停电事件网络攻击过程及电网薄
弱环节分析
近两年来
,
中国提出了能源互联网的发展战略
,
已开展了许多相关基础性研究
.
能源互联网可认为
、
是由传统电力系统
(
一次系统与二次系统
)
分布式
能源
、
通信网络等混合组成的具有互动性的电网物
理信息系统
,
其中信息安全是保证能源互联网健康
发展的重要基石
.
乌克兰电网遭受的停电事
2015
年
12
月
23
日
,
件展示了黑客攻击电网的实际威力
.
根据乌克兰国
家安全局事后分析
,
它是由一起有组织的黑客攻击
行为造成的
.
初步查明
,
黑客采用多种网络手段对
乌克兰国家电网进行了攻击
,
如植入了被称为
()
实安装了名为
K
即
D
的清除型恶意软
illDiskisakil
件
,
其设计目标在于删除计算机中磁盘驱动器内的
数据
,
并导致系统无法重启
,
但是乌克兰方面还无法
解释受到
KillDisk
恶意软件攻击与发电站跳闸停电
之间的直接关系
.
中国金山安全反病毒实验室第一时间从各渠道
采集到乌克兰停电事件中的
B
并
lackEner
gy
样本
,
示了
BlackEner
gy
入侵目标主机的过程
.
首先黑客
直接或通过傀儡机收集被攻击用户的邮箱
,
定向发
://
做了相应的分析报告
(
参见
httwww.admin5.
p
///).
该报告展
comarticle20160114642816.shtml
送含恶意文件的邮件
,
无安全防范意识的用户打开
了带宏病毒的文档
,
该文档伪装为微软
USBMDM
“”
的恶意软件
,
导致发电厂跳闸断电
,
BlackEner
gy
并且
,
乌克兰地区多家电力公司同时遭受了拒绝式
服务攻击
,
使各大电力公司的呼叫支持中心不堪重
负
,
阻断电力运营商以远程控制方式对受感染系统
实施的应急工作
.
国外信息安全专家
John
中受到了不同程度的损害
.
事实上
,
在这次乌克兰
网络攻击停电事件之前
,
国外已有多起遭到恶意攻
击的报道
.
1.1
乌克兰停电事件中网络攻击过程
对于此次事件主要攻击手段
,
到目前为止的报
道是
,
乌克兰计算机紧急响应小组
(
已
CERTGUA
)
确认收到来自安全厂商
E
认定确
SET
给出的报告
,
收稿日期
:
2016G02G02
.
上网日期
:
2016G02G05
.
Rootkit
使用某线程注入系统关键进程
svchost.
,
后者开启本地网络端口
,
以
HTexeTPS
协议主动
连接外网的主控服务器
,
黑客在该连接成功后发指
令下载黑客工具或插件
,
这样用户机器被渗透攻击
成功
,
这个攻击过程见图
1
中的红线部分
(
攻击路
.
然后黑客远程控制实施了后续具体攻击
,
径
①
)
通
过网络传播病毒
,
删除计算机上的文件使其瘫痪
,
并
通过网络穿透各种通信协议
,
从某台工控机向断路
,
器发出了跳闸命令
(
如何做到这点尚无具体报道
)
并且黑客在攻击过程中清除了所经过计算机上的痕
迹
,
使事后较难追踪到其攻击路线
.
另一种黑客运用的攻击手段
,
可能是黑客事先
在几个月前就通过某种方式在被攻击对象的局域网
中植入了木马病毒
,
比如通过发送带有木马病毒的
邮件
,
或者通过工程师的调试电脑把病毒下载到某
台计算机上
,
时隔几个月后该病毒启动并与外界取
://
httwww.aesGinfo.com
pp
但缺乏数字签名
,
用户运行了恶意
Driver
驱动文件
,
安装程序
,
它释放和加载
Rootkit
内核驱动
,
Hultuist
称
,
BlackEner
qgy
之前先后曾攻陷过美国
和欧洲的电力供应商
,
使这些欧美国家在攻击事件
1
()
2016
,
407