信息來源:安全內(nèi)參
-
烏克蘭CERT和ESET披露,沙蟲黑客組織針對烏能源工控設(shè)施發(fā)起破壞性網(wǎng)絡(luò)攻擊,希望切斷區(qū)域電力供應(yīng),但被成功阻止;
-
攻擊者使用了曾導(dǎo)致烏克蘭大停電的Industroyer更新版、CaddyWiper數(shù)據(jù)擦除軟件;
-
據(jù)分析,此次攻擊發(fā)生在4月8日晚間,Industroyer2在兩周前已經(jīng)準備好,被攻擊網(wǎng)絡(luò)至少在2月已經(jīng)被滲透。
俄羅斯黑客團伙在一次針對烏克蘭能源設(shè)施的攻擊中,部署了一種新型惡意軟件。
烏克蘭計算機應(yīng)急響應(yīng)小組(CERT-UA)稱,在惡意黑客發(fā)動攻擊之后,他們立即采取了“緊急措施”,旨在斷開并停用控制高壓變電站的工業(yè)基礎(chǔ)設(shè)施。
烏克蘭CERT表示,這次旨在令基礎(chǔ)設(shè)施停用的網(wǎng)絡(luò)攻擊發(fā)生在4月8日(周五)晚上,但被成功阻止。
歐洲安全廠商ESET的研究人員協(xié)助烏克蘭CERT制止了這次攻擊。他們的分析結(jié)果表明,此次惡意活動與黑客組織沙蟲(Sandworm)有關(guān)。
英國國家網(wǎng)絡(luò)安全中心(NCSC)、美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)、美國國安局(NSA)等西方網(wǎng)絡(luò)安全機構(gòu),此前已經(jīng)把沙蟲組織及其惡意活動歸因于俄羅斯情報機構(gòu)格魯烏(GRU)。
在這次攻擊中,攻擊者使用了Industroyer的更新版本Industroyer2。Industroyer是沙蟲組織使用過的一種惡意軟件,曾在2015年導(dǎo)致烏克蘭大停電。對專為工業(yè)環(huán)境設(shè)計的Industroyer2留下的痕跡的分析表明,該組織已經(jīng)就對烏克蘭電力系統(tǒng)攻擊籌劃了數(shù)周。
目前還不清楚目標電力設(shè)施最初是如何被入侵的,也不清楚入侵者如何從IT網(wǎng)絡(luò)橫向移動到了工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)。根據(jù)烏克蘭CERT介紹,攻擊者初次獲取網(wǎng)絡(luò)訪問權(quán)限的時間不會晚于2022年2月。
除了網(wǎng)絡(luò)上的Industroyer證據(jù),攻擊者還部署了新版本的CaddyWiper破壞性惡意軟件。研究人員認為,這是為了拖慢電力公司的恢復(fù)過程,使其無法在攻擊后重新控制ICS控制臺。
被Industroyer2感染的機器上也出現(xiàn)了CaddyWiper的蹤跡,研究人員認為,這是為了掩蓋真實攻擊痕跡。
ESET研究人員表示,“烏克蘭的關(guān)鍵基礎(chǔ)設(shè)施再次成為網(wǎng)絡(luò)攻擊的中心。而在這起新版Industroyer攻擊之前,已經(jīng)有多起針對烏克蘭各個行業(yè)的數(shù)據(jù)擦除攻擊?!?
研究人員還整理了一份清單,列出了目前已經(jīng)確定在俄烏沖突期間被用于攻擊烏克蘭組織的惡意軟件。
參考來源:https://www.zdnet.com/article/ukraine-says-it-has-stopped-russian-hackers-who-were-trying-to-attack-its-power-grid