信息來源:安全內參
-
烏克蘭CERT和ESET披露,沙蟲黑客組織針對烏能源工控設施發(fā)起破壞性網絡攻擊,希望切斷區(qū)域電力供應,但被成功阻止;
-
攻擊者使用了曾導致烏克蘭大停電的Industroyer更新版、CaddyWiper數據擦除軟件;
-
據分析,此次攻擊發(fā)生在4月8日晚間,Industroyer2在兩周前已經準備好,被攻擊網絡至少在2月已經被滲透。
俄羅斯黑客團伙在一次針對烏克蘭能源設施的攻擊中,部署了一種新型惡意軟件。
烏克蘭計算機應急響應小組(CERT-UA)稱,在惡意黑客發(fā)動攻擊之后,他們立即采取了“緊急措施”,旨在斷開并停用控制高壓變電站的工業(yè)基礎設施。
烏克蘭CERT表示,這次旨在令基礎設施停用的網絡攻擊發(fā)生在4月8日(周五)晚上,但被成功阻止。
歐洲安全廠商ESET的研究人員協助烏克蘭CERT制止了這次攻擊。他們的分析結果表明,此次惡意活動與黑客組織沙蟲(Sandworm)有關。
英國國家網絡安全中心(NCSC)、美國網絡安全與基礎設施安全局(CISA)、美國國安局(NSA)等西方網絡安全機構,此前已經把沙蟲組織及其惡意活動歸因于俄羅斯情報機構格魯烏(GRU)。
在這次攻擊中,攻擊者使用了Industroyer的更新版本Industroyer2。Industroyer是沙蟲組織使用過的一種惡意軟件,曾在2015年導致烏克蘭大停電。對專為工業(yè)環(huán)境設計的Industroyer2留下的痕跡的分析表明,該組織已經就對烏克蘭電力系統攻擊籌劃了數周。
目前還不清楚目標電力設施最初是如何被入侵的,也不清楚入侵者如何從IT網絡橫向移動到了工業(yè)控制系統(ICS)網絡。根據烏克蘭CERT介紹,攻擊者初次獲取網絡訪問權限的時間不會晚于2022年2月。
除了網絡上的Industroyer證據,攻擊者還部署了新版本的CaddyWiper破壞性惡意軟件。研究人員認為,這是為了拖慢電力公司的恢復過程,使其無法在攻擊后重新控制ICS控制臺。
被Industroyer2感染的機器上也出現了CaddyWiper的蹤跡,研究人員認為,這是為了掩蓋真實攻擊痕跡。
ESET研究人員表示,“烏克蘭的關鍵基礎設施再次成為網絡攻擊的中心。而在這起新版Industroyer攻擊之前,已經有多起針對烏克蘭各個行業(yè)的數據擦除攻擊?!?
研究人員還整理了一份清單,列出了目前已經確定在俄烏沖突期間被用于攻擊烏克蘭組織的惡意軟件。
參考來源:https://www.zdnet.com/article/ukraine-says-it-has-stopped-russian-hackers-who-were-trying-to-attack-its-power-grid