乌克兰CERT和ESET披露,沙虫黑客组织针对乌能源工控设施发起破坏性网络攻击,希望切断区域电力供应,但被成功阻止;
攻击者使用了曾导致乌克兰大停电的Industroyer更新版、CaddyWiper数据擦除软件;
据分析,此次攻击发生在4月8日晚间,Industroyer2在两周前已经准备好,被攻击网络至少在2月已经被渗透。
俄罗斯黑客团伙在一次针对乌克兰能源设施的攻击中,部署了一种新型恶意软件。
乌克兰计算机应急响应小组(CERT-UA)称,在恶意黑客发动攻击之后,他们立即采取了“紧急措施”,旨在断开并停用控制高压变电站的工业基础设施。
乌克兰CERT表示,这次旨在令基础设施停用的网络攻击发生在4月8日(周五)晚上,但被成功阻止。
欧洲安全厂商ESET的研究人员协助乌克兰CERT制止了这次攻击。他们的分析结果表明,此次恶意活动与黑客组织沙虫(Sandworm)有关。
英国国家网络安全中心(NCSC)、美国网络安全与基础设施安全局(CISA)、美国国安局(NSA)等西方网络安全机构,此前已经把沙虫组织及其恶意活动归因于俄罗斯情报机构格鲁乌(GRU)。
在这次攻击中,攻击者使用了Industroyer的更新版本Industroyer2。Industroyer是沙虫组织使用过的一种恶意软件,曾在2015年导致乌克兰大停电。对专为工业环境设计的Industroyer2留下的痕迹的分析表明,该组织已经就对乌克兰电力系统攻击筹划了数周。
目前还不清楚目标电力设施最初是如何被入侵的,也不清楚入侵者如何从IT网络横向移动到了工业控制系统(ICS)网络。根据乌克兰CERT介绍,攻击者初次获取网络访问权限的时间不会晚于2022年2月。
除了网络上的Industroyer证据,攻击者还部署了新版本的CaddyWiper破坏性恶意软件。研究人员认为,这是为了拖慢电力公司的恢复过程,使其无法在攻击后重新控制ICS控制台。
被Industroyer2感染的机器上也出现了CaddyWiper的踪迹,研究人员认为,这是为了掩盖真实攻击痕迹。
ESET研究人员表示,“乌克兰的关键基础设施再次成为网络攻击的中心。而在这起新版Industroyer攻击之前,已经有多起针对乌克兰各个行业的数据擦除攻击。”
研究人员还整理了一份清单,列出了目前已经确定在俄乌冲突期间被用于攻击乌克兰组织的恶意软件。
参考来源:https://www.zdnet.com/article/ukraine-says-it-has-stopped-russian-hackers-who-were-trying-to-attack-its-power-grid
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
