信息來源:安全內(nèi)參
-
烏克蘭CERT和ESET披露�����,沙蟲黑客組織針對(duì)烏能源工控設(shè)施發(fā)起破壞性網(wǎng)絡(luò)攻擊,希望切斷區(qū)域電力供應(yīng)���,但被成功阻止�;
-
攻擊者使用了曾導(dǎo)致烏克蘭大停電的Industroyer更新版��、CaddyWiper數(shù)據(jù)擦除軟件�����;
-
據(jù)分析����,此次攻擊發(fā)生在4月8日晚間,Industroyer2在兩周前已經(jīng)準(zhǔn)備好�����,被攻擊網(wǎng)絡(luò)至少在2月已經(jīng)被滲透���。
俄羅斯黑客團(tuán)伙在一次針對(duì)烏克蘭能源設(shè)施的攻擊中����,部署了一種新型惡意軟件�����。
烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT-UA)稱,在惡意黑客發(fā)動(dòng)攻擊之后�����,他們立即采取了“緊急措施”����,旨在斷開并停用控制高壓變電站的工業(yè)基礎(chǔ)設(shè)施。
烏克蘭CERT表示����,這次旨在令基礎(chǔ)設(shè)施停用的網(wǎng)絡(luò)攻擊發(fā)生在4月8日(周五)晚上,但被成功阻止����。
歐洲安全廠商ESET的研究人員協(xié)助烏克蘭CERT制止了這次攻擊。他們的分析結(jié)果表明���,此次惡意活動(dòng)與黑客組織沙蟲(Sandworm)有關(guān)�。
英國國家網(wǎng)絡(luò)安全中心(NCSC)���、美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)、美國國安局(NSA)等西方網(wǎng)絡(luò)安全機(jī)構(gòu)��,此前已經(jīng)把沙蟲組織及其惡意活動(dòng)歸因于俄羅斯情報(bào)機(jī)構(gòu)格魯烏(GRU)。
在這次攻擊中��,攻擊者使用了Industroyer的更新版本Industroyer2��。Industroyer是沙蟲組織使用過的一種惡意軟件����,曾在2015年導(dǎo)致烏克蘭大停電。對(duì)專為工業(yè)環(huán)境設(shè)計(jì)的Industroyer2留下的痕跡的分析表明�����,該組織已經(jīng)就對(duì)烏克蘭電力系統(tǒng)攻擊籌劃了數(shù)周���。
目前還不清楚目標(biāo)電力設(shè)施最初是如何被入侵的�,也不清楚入侵者如何從IT網(wǎng)絡(luò)橫向移動(dòng)到了工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)���。根據(jù)烏克蘭CERT介紹�����,攻擊者初次獲取網(wǎng)絡(luò)訪問權(quán)限的時(shí)間不會(huì)晚于2022年2月�。
除了網(wǎng)絡(luò)上的Industroyer證據(jù)���,攻擊者還部署了新版本的CaddyWiper破壞性惡意軟件�����。研究人員認(rèn)為����,這是為了拖慢電力公司的恢復(fù)過程,使其無法在攻擊后重新控制ICS控制臺(tái)�����。
被Industroyer2感染的機(jī)器上也出現(xiàn)了CaddyWiper的蹤跡�,研究人員認(rèn)為,這是為了掩蓋真實(shí)攻擊痕跡��。
ESET研究人員表示�,“烏克蘭的關(guān)鍵基礎(chǔ)設(shè)施再次成為網(wǎng)絡(luò)攻擊的中心。而在這起新版Industroyer攻擊之前��,已經(jīng)有多起針對(duì)烏克蘭各個(gè)行業(yè)的數(shù)據(jù)擦除攻擊����。”
研究人員還整理了一份清單�,列出了目前已經(jīng)確定在俄烏沖突期間被用于攻擊烏克蘭組織的惡意軟件���。
參考來源:https://www.zdnet.com/article/ukraine-says-it-has-stopped-russian-hackers-who-were-trying-to-attack-its-power-grid
