俄罗斯Sandworm沙虫病毒攻击乌克兰变电站导致大范围停电

去年，臭名昭著的俄罗斯黑客 Sandworm沙虫 袭击了乌克兰的一座变电站，导致 2022 年 10 月短暂停电。调查结果来自谷歌安全研究团队，谷歌将此次黑客攻击描述为“多事件网络攻击”，利用了一种影响工业控制系统 (ICS) 的新技术。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，攻击者首先使用 OT 级别的陆上生活 ( LotL ) 技术，可能会触发受害者的变电站断路器，导致意外停电，同时乌克兰各地的关键基础设施遭到大规模导弹袭击。

Sandworm 随后在受害者的 IT 环境中部署了CaddyWiper的新变种，从而实施了第二次破坏性事件。

这家威胁情报公司没有透露目标能源设施的位置、停电的持续时间以及受事件影响的人数。

这一进展标志着 Sandworm至少自 2015 年以来一直在使用 Industroyer 等恶意软件发起破坏性攻击并危害乌克兰电网。

用于网络物理攻击的确切初始向量目前尚不清楚，据信威胁行为者对 LotL 技术的使用减少了完成攻击所需的时间和资源。

此次入侵被认为发生在 2022 年 6 月左右，Sandworm 参与者通过虚拟机管理程序获得了对操作技术 (OT) 环境的访问权限，该虚拟机管理程序为受害者的变电站环境托管了监督控制和数据采集 (SCADA) 管理实例。

2022 年 10 月 10 日，光盘 (ISO) 映像文件被用来启动能够关闭变电站的恶意软件，导致意外停电。

OT 事件发生两天后，Sandworm 在受害者的 IT 环境中部署了 CaddyWiper 的新变种，以造成进一步的破坏，并有可能删除取证文物。

CaddyWiper 指的是一种数据擦除恶意软件，于 2022 年 3 月首次曝光，与俄乌战争有关。

这次袭击的最终实施恰逢对乌克兰多个城市的关键基础设施进行为期多天的协调导弹袭击，其中包括未透露姓名的受害者所在的城市。

这次攻击对利用 MicroSCADA 监控系统的乌克兰关键基础设施环境构成了直接威胁。鉴于 Sandworm 的全球威胁活动以及 MicroSCADA 产品的全球部署，全球资产所有者应采取行动，缓解其针对 IT 和 OT 系统的策略、技术和程序。