29 什么是BlackEnergy病毒？

2015年12月23日，乌克兰电力供应商通报了持续三个小时的大面积停电事故，后经调查发现，停电事故是由于遭遇网络攻击。攻击者使用附带有恶意代码的Excel邮件附件渗透了某电网工作站员工的系统，向电网网络植入了BlackEnergy，获得对发电系统的远程接入和控制能力。

BlackEnergy是一款自动化的网络攻击工具，于2007年被Arbor网络公司首次发现，主要影响领域是电力、军事、通信和政府等的基础设施。BlackEnergy被各种犯罪团伙使用多年。其可采用插件的方式进行扩展，第三方开发者可以通过增加插件并针对攻击目标进行组合，实现更多攻击。例如，一些人用它发送垃圾邮件，另一些人用它盗取银行凭证。BlackEnergy工具带有一个构建器（Builder）应用程序，可生成感染受害者机器的客户端。同时该工具还配备了服务器脚本，用于构建命令及控制（C&C）服务器。这些脚本也提供了一个接口，攻击者可以通过它控制“僵尸机”。该工具有简单易用的特点，因此任何人只要能接触到这个工具，就可以利用它来构建自己的“僵尸”网络。

以乌克兰电网受攻击事件为例，该病毒的攻击者在微软Office文件（一个后缀名为.xls的文档）中嵌入了恶意宏文件，并以此作为感染载体感染目标系统。攻击者通过钓鱼邮件的方式，将恶意文档以附件形式发送到目标用户，目标用户在接收到这封含有恶意文件的钓鱼邮件之后就会被病毒感染。攻击者将该邮件的发送地址进行了伪装，使用户认为这些邮件来自合法渠道。在恶意文件中还包含一些文字信息，以欺骗用户运行文档中的宏。如果攻击者成功地欺骗了目标用户，那么他们的计算机系统将会感染BlackEnergy恶意程序，再通过BlackEnergy释放出具有破坏性的KillDisk组件和SSH后门。KillDisk组件能够破坏计算机硬盘驱动器中的核心代码，并删除指定的系统文件；利用SSH后门，黑客可通过一个预留的密码来远程访问并控制电力系统的运行，最终通过执行shutdown命令关机，此时系统遭到严重破坏，关机之后已经无法重启，导致电力系统无法恢复运行，出现大面积的停电事故。