自去年年底烏克蘭電力系統(tǒng)被黑事件曝出后�,BlackEnergy惡意軟件再次受到了廣泛關(guān)注。近日�����,安全研究人員更發(fā)現(xiàn)BlackEnergy惡意軟件的變種參與到攻擊烏克蘭礦業(yè)和鐵路系統(tǒng)的活動(dòng)中����。
烏克蘭的礦業(yè)和鐵路系統(tǒng)遭受BlackEnergy惡意軟件變種的攻擊
據(jù)悉,BlackEnergy木馬軟件主要是攻擊數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)的安全�����,其最新變種KillDisk組件可以擦除硬盤內(nèi)容���,讓系統(tǒng)無(wú)法工作�。此前,烏克蘭政府指控俄羅斯參與了導(dǎo)致停電事件的攻擊��,雖然在進(jìn)一步分析后發(fā)現(xiàn)BlackEnergy惡意軟件并不直接對(duì)停電事件負(fù)責(zé)���,不過也在電力系統(tǒng)中發(fā)現(xiàn)了該木馬的變種樣本���。
烏克蘭電力系統(tǒng)中發(fā)現(xiàn)了該BlackEnergy木馬的變種樣本
同時(shí),來(lái)自BlackEnergy的威脅并未消除�����,網(wǎng)絡(luò)安全廠商在近期的調(diào)查中發(fā)現(xiàn)烏克蘭的一家礦業(yè)公司和鐵路運(yùn)營(yíng)商的系統(tǒng)上均出現(xiàn)了BlackEnergy和KillDisk的樣本��。其中�,該礦業(yè)公司的系統(tǒng)中感染了KillDisk的多個(gè)變種,而這些樣本與此前在烏克蘭電力公司系統(tǒng)中發(fā)現(xiàn)的KillDisk組件具有同樣的作用�����。
由于這些樣本在命名約定��、控制基礎(chǔ)設(shè)施和攻擊時(shí)機(jī)等方面存在著許多相似之處�,因此安全研究人員認(rèn)為,幕后的攻擊者與當(dāng)初攻擊烏克蘭電力公司很可能是同一伙人�����。此外,研究人員還注意到數(shù)個(gè)樣本變種��,與當(dāng)初感染烏克蘭電力公司的BlackEnergy類似�,這些惡意軟件使用同樣的指揮和控制(C&C)服務(wù)器。
該安全研究團(tuán)隊(duì)在近期發(fā)布的一篇博文聲稱:“與針對(duì)烏克蘭礦業(yè)公司發(fā)動(dòng)的攻擊一樣�,我們還目睹KillDisk可能被用來(lái)攻擊隸屬烏克蘭全國(guó)鐵路系統(tǒng)的一家大型烏克蘭鐵路公司��。文件tsk.exe(SHA1: f3e41eb94c4d72a98cd743bbb02d248f510ad925)被標(biāo)為是KillDisk�����,既用于攻擊這家鐵路公司����,又用于攻擊電力公司的活動(dòng)。這似乎是烏克蘭電力公司感染造成的唯一余波�����。然而����,我們沒有證據(jù)表明BlackEnergy出現(xiàn)在鐵路系統(tǒng)上���,只能說它可能出現(xiàn)在網(wǎng)絡(luò)的某個(gè)地方?�!?/p>
專家們對(duì)這起攻擊的幾種原因進(jìn)行了闡釋�����;最合理的一種說法是具有政治動(dòng)機(jī)的持續(xù)攻擊者采取的攻勢(shì)���。旨在攻擊烏克蘭關(guān)鍵基礎(chǔ)設(shè)施���,破壞該國(guó)穩(wěn)定性。
該安全研究團(tuán)隊(duì)負(fù)責(zé)人Kyle Wilhoit表示��,“一種可能是����,攻擊者可能想通過持續(xù)地破壞電力、礦業(yè)和交通運(yùn)輸?shù)仍O(shè)施�,破壞烏克蘭的穩(wěn)定性。另一種可能是����,他們將惡意軟件植入到不同的關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)��,確定哪一種基礎(chǔ)設(shè)施系統(tǒng)最容易被滲透��,因而獲得控制權(quán)�����。一種相關(guān)的說法是��,礦業(yè)和鐵路公司的感染可能只是初步的感染�����,攻擊者只是在企圖測(cè)試代碼庫(kù)?���!?/p>
然而無(wú)論是哪種情況,針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊都會(huì)給任何國(guó)家政府構(gòu)成嚴(yán)重威脅����。不過,為了應(yīng)對(duì)BlackEnergy木馬的危害��,如360企業(yè)安全便在2015年底開發(fā)出了BlackEnergy木馬掃描工具�����,并開始定向?yàn)閲?guó)內(nèi)用戶提供免費(fèi)掃描服務(wù)。
因此�����,為了不讓烏克蘭的攻擊事件在我國(guó)上演����,各行業(yè)急需將網(wǎng)絡(luò)安全防護(hù)提到日程上來(lái),從企業(yè)內(nèi)外網(wǎng)絡(luò)環(huán)境入手��,提升網(wǎng)絡(luò)安全意識(shí)���,并加強(qiáng)對(duì)惡意流量進(jìn)行檢測(cè)���、實(shí)施阻斷,形成針對(duì)性的防護(hù)能力等有效措施��,以保障企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行����。
