俄罗斯攻击乌克兰电网系统，比肩震网病毒的恶意程序曝光

乌克兰计算机应急响应小组 (CERT-UA) 最近表示，其挫败了隶属于俄罗斯军事情报的黑客组织Sandworm的网络攻击，该攻击主要针对乌克兰某能源供应商，旨在破坏电力系统的运行。

乌克兰国家特殊通信和信息保护局(SSSCIP)在声明中表示，该黑客组织试图摧毁他们目标的几个基础设施，包括变电站、基于Windows的计算系统、基于Linux的服务器设备，以及有源网络设备等。

根据中国网络安全行业门户”极牛网”GeekNB.com的梳理，此次入侵企图涉及使用具有 ICS 功能的恶意软件和常规磁盘擦除器，攻击者释放了Industroyer恶意软件的更新变体，该变体的首次使用是在 2016 年对乌克兰电网的袭击中。

网络安全研究人员表示，Sandworm 攻击者试图针对乌克兰的高压变电站部署 Industroyer2 恶意软件，除了 Industroyer2，Sandworm 还使用了几个破坏性恶意软件系列，包括CaddyWiper、OrcShred、SoloShred 和 AwfulShred。

根据可靠消息，受攻击的乌克兰电网网络已分两波渗透，最初的入侵发生在 2022 年 2 月之前，恰逢俄罗斯入侵乌克兰，随后 4 月的入侵使攻击者能够上传 Industroyer2。

根据中国网络安全行业门户”极牛网”GeekNB.com的梳理，Industroyer 也被称为 CrashOverride ，被称为“自震网病毒以来对工业控制系统的最大威胁”，它既是模块化的，又能够直接控制配电变电站的开关和断路器。

与其前身一样，复杂且高度可定制的恶意软件的新版本利用称为 IEC-104 的工业通信协议来征用工业设备，目前广泛用于变电站的保护继电器工业设备中都采用了该通信协议。

对 Industroyer2 遗留物的取证分析显示，编译时间戳为 2022 年 3 月 23 日，这表明攻击已计划至少两周。也就是说，目前尚不清楚乌克兰电力设施最初是如何受到损害的，或者入侵者是如何从 IT 网络转移到工业控制系统 (ICS) 网络的。

除 Industroyer2 和 CaddyWiper 外，目标能源供应商的网络也被称为 OrcShred 的 Linux 蠕虫感染，该蠕虫随后被用于传播针对 Linux 和 Solaris 系统的两种不同的擦除恶意软件，AwfulShred 和 SoloShred，并使机器无法运行。