乌克兰计算机应急响应小组 (CERT-UA) 最近表示,其挫败了隶属于俄罗斯军事情报的黑客组织Sandworm的网络攻击,该攻击主要针对乌克兰某能源供应商,旨在破坏电力系统的运行。
乌克兰国家特殊通信和信息保护局(SSSCIP)在声明中表示,该黑客组织试图摧毁他们目标的几个基础设施,包括变电站、基于Windows的计算系统、基于Linux的服务器设备,以及有源网络设备等。
根据中国网络安全行业门户”极牛网”GeekNB.com的梳理,此次入侵企图涉及使用具有 ICS 功能的恶意软件和常规磁盘擦除器,攻击者释放了Industroyer恶意软件的更新变体,该变体的首次使用是在 2016 年对乌克兰电网的袭击中。
网络安全研究人员表示,Sandworm 攻击者试图针对乌克兰的高压变电站部署 Industroyer2 恶意软件,除了 Industroyer2,Sandworm 还使用了几个破坏性恶意软件系列,包括CaddyWiper、OrcShred、SoloShred 和 AwfulShred。
根据可靠消息,受攻击的乌克兰电网网络已分两波渗透,最初的入侵发生在 2022 年 2 月之前,恰逢俄罗斯入侵乌克兰,随后 4 月的入侵使攻击者能够上传 Industroyer2。
根据中国网络安全行业门户”极牛网”GeekNB.com的梳理,Industroyer 也被称为 CrashOverride ,被称为“自震网病毒以来对工业控制系统的最大威胁”,它既是模块化的,又能够直接控制配电变电站的开关和断路器。
与其前身一样,复杂且高度可定制的恶意软件的新版本利用称为 IEC-104 的工业通信协议来征用工业设备,目前广泛用于变电站的保护继电器工业设备中都采用了该通信协议。
对 Industroyer2 遗留物的取证分析显示,编译时间戳为 2022 年 3 月 23 日,这表明攻击已计划至少两周。也就是说,目前尚不清楚乌克兰电力设施最初是如何受到损害的,或者入侵者是如何从 IT 网络转移到工业控制系统 (ICS) 网络的。
除 Industroyer2 和 CaddyWiper 外,目标能源供应商的网络也被称为 OrcShred 的 Linux 蠕虫感染,该蠕虫随后被用于传播针对 Linux 和 Solaris 系统的两种不同的擦除恶意软件,AwfulShred 和 SoloShred,并使机器无法运行。
极牛网精选文章《俄罗斯攻击乌克兰电网系统,比肩震网病毒的恶意程序曝光》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/19009.html