警告:本文包含宏——黑山信息安全公司
事件背景
2015年12月23日,网络攻击导致乌克兰伊万诺-弗兰科夫斯克地区数十万人断电。这是首起经证实的网络攻击者瘫痪电网事件。多方报告显示,这是一次协调精密、使用名为BlackEnergy木马的行动。
攻击手法分析
宏作为传播载体
- BlackEnergy近两年在乌克兰频繁用于政府目标间谍活动
- 实际攻击需要技术能力、定制化开发和高级协调
- 但传播方式始终一致:通过MS Office文档中的宏
宏恶意软件的历史与现状
- 宏恶意软件自90年代就已存在,近期重新流行
- Office应用程序运行用VBA编写的内部宏
- VBA功能包括自动下载文件和运行应用程序,这些功能可能被滥用
社会工程学的作用
将恶意功能与社会工程学结合(如发送包含恶意电子表格的紧急邮件),使向网络投放恶意软件变得简单。
防御建议
员工教育优先
组织应优先教育员工了解这些古老但高效的恶意软件传播机制,而不是急于实施复杂策略。
简单威胁的重大影响
在信息安全领域,简单和被忽视的问题往往导致严重后果。了解这些简单威胁可能防止全市范围的停电。
地缘政治视角
许多证据指向俄罗斯是此次攻击的幕后黑手,类似攻击可能持续。即使在东欧之外,针对信息安全知识有限的低级员工的网络入侵也将成为未来战争的主要方面。
结论
虽然总会有复杂恶意软件的存在,但此次攻击以其简单性展现了威胁的严重性。让我们提高攻击者的攻击难度。
作者简介:Lisa来自乌克兰,是BHIS的软件工程师,业余时间喜欢在南达科他州黑山的攀岩路线上攀登。