Sandworm團(tuán)隊(duì)與烏克蘭電力部門的攻擊事件有關(guān)
Sandworm團(tuán)隊(duì),在歷史上曾多次對(duì)烏克蘭的政府機(jī)構(gòu)發(fā)起過攻擊,而且他們也非常熱衷于攻擊工業(yè)自動(dòng)化控制系統(tǒng)。
在上周,iSIGHT Partners公司曾為我們?nèi)蚍秶鷥?nèi)的客戶提供了有關(guān)此次烏克蘭停電事件的相關(guān)細(xì)節(jié)。我們已經(jīng)從相關(guān)設(shè)備中提取了有關(guān)此次網(wǎng)絡(luò)間諜活動(dòng)的數(shù)據(jù),并對(duì)取證信息進(jìn)行了分析和檢測。目前,我們還無法得到有關(guān)此次事件的具體細(xì)節(jié)信息,但是鑒于此次事件的惡意性質(zhì),尤其是在此次事件中黑客還使用了破壞性惡意軟件,我們其實(shí)并不希望有太多的詳細(xì)信息被曝光出來。
但是,在我們仔細(xì)的分析和研究之后,我們將此次事件與Sandworm團(tuán)隊(duì)聯(lián)系了起來,主要是因?yàn)榇舜问录械墓粽呤褂昧薆lackEnergy 3,而這款惡意軟件已經(jīng)成為了這個(gè)黑客團(tuán)伙的代名詞。
iSIGHT Partners已經(jīng)對(duì)Sandworm團(tuán)隊(duì)的活動(dòng)進(jìn)行了追蹤并觀察了一段時(shí)間,我們還曾公開報(bào)道了他們在2014年10月份的一些黑客行動(dòng),當(dāng)時(shí)我們發(fā)現(xiàn)他們曾利用過一個(gè)0 day漏洞-CVE-2014-4114。在當(dāng)時(shí)的黑客行動(dòng)中,我們發(fā)現(xiàn)他們的攻擊目標(biāo)是烏克蘭的政府官員,以及歐盟和北約組織的成員。就在他們將間諜行動(dòng)所獲取到的信息公布出來之后,趨勢科技公司的研究人員發(fā)現(xiàn),這些攻擊者不僅進(jìn)行了常規(guī)的網(wǎng)絡(luò)間諜攻擊,而且還針對(duì)工業(yè)自動(dòng)化控制系統(tǒng)進(jìn)行了攻擊,而且這一發(fā)現(xiàn)已經(jīng)得到了確認(rèn)。目前,我們已經(jīng)收集了大量相關(guān)的證據(jù),iSIGHT Partners公司隨后也發(fā)表了一篇博文,并認(rèn)為這些間諜活動(dòng)是在為之后的網(wǎng)絡(luò)攻擊進(jìn)行踩點(diǎn)和偵查。ICS-CERT同樣也發(fā)表了一份有關(guān)此次事件的公告。
Sandworm團(tuán)伙的活動(dòng)-從2014年至今
在2014年10月份被曝光之后,Sandworm團(tuán)隊(duì)便銷聲匿跡了。然而,在2015年初,像BlackEnergy 3這樣特點(diǎn)鮮明的惡意軟件變種卻再度出現(xiàn)在了烏克蘭,而我們當(dāng)初就是在烏克蘭發(fā)現(xiàn)了Sandworm團(tuán)隊(duì)的活動(dòng)蹤跡。在過去的一年中(2015年),我們發(fā)現(xiàn)使用了BlackEnergy 3的入侵活動(dòng)數(shù)量明顯呈現(xiàn)出了上升趨勢。我們發(fā)現(xiàn)這種惡意軟件新增了許多功能,我們也警告了我們的客戶,在分析之后,我們還認(rèn)為攻擊者可能會(huì)對(duì)歐洲的相關(guān)組織和機(jī)構(gòu)產(chǎn)生濃厚的興趣。但是,當(dāng)時(shí)我們無法確定攻擊者具體的攻擊目標(biāo)。除此之外我們還警告客戶,在這一系列的網(wǎng)絡(luò)攻擊之后,烏克蘭地區(qū)的媒體機(jī)構(gòu)和地區(qū)電力部門很有可能都會(huì)遭受到網(wǎng)絡(luò)攻擊。ESET公司的研究人員同樣也對(duì)Sandworm團(tuán)隊(duì)進(jìn)行了長時(shí)間的追蹤和觀察,而且他們也發(fā)布了類似的警告信息。
針對(duì)烏克蘭發(fā)電站的攻擊事件
上周,iSIGHT公司向我們提供了一份相同的KillDisk惡意軟件代碼。今年十月份,烏克蘭的相關(guān)政府部門在烏克蘭大選期間曾遭受過黑客的攻擊,而我們在進(jìn)行了相應(yīng)的分析和研究之后,我們認(rèn)為這個(gè)KillDisk惡意軟件與當(dāng)時(shí)黑客所使用的破壞性惡意軟件之間有著某種聯(lián)系。當(dāng)時(shí),CERT-UA認(rèn)為該事件與BlackEnergy 3有關(guān)。賽門鐵克公司已經(jīng)證實(shí)了這些觀點(diǎn)。除此之外,iSIGHT公司的研究人員在對(duì)證據(jù)進(jìn)行了分析之后認(rèn)為,在受到了KillDisk感染的烏克蘭電力系統(tǒng)之中,至少有一個(gè)地區(qū)的電力系統(tǒng)受到了BlackEnergy 3惡意軟件的攻擊。
烏克蘭國家安全局在其官方網(wǎng)站中發(fā)表了一份聲明,并表示:目前,iSIGHT Partners公司仍在收集有關(guān)此次停電事件的相關(guān)證據(jù)信息,并且該公司的研究人員也在努力嘗試分析出KillDisk惡意軟件在此次事件中扮演的到底是怎樣的一個(gè)角色。我們現(xiàn)在并不能確認(rèn)此次的停電事件是否是由KillDisk惡意軟件所導(dǎo)致。但是據(jù)我們所知,攻擊者曾利用過這款惡意軟件對(duì)電力部門的相關(guān)設(shè)備進(jìn)行了操作,也許是為了使恢復(fù)工作變得更加困難,也有可能是為了防治電力部門的工作人員發(fā)現(xiàn)他們的攻擊行為。值得注意的是,當(dāng)時(shí)攻擊者還對(duì)電力部門的技術(shù)支持電話進(jìn)行了“洪泛攻擊”,導(dǎo)致發(fā)電站的整個(gè)技術(shù)支持部門完全處于癱瘓狀態(tài)。
展望
盡管這種類型的網(wǎng)絡(luò)攻擊是可以預(yù)測到的,但它仍然是一種里程碑式的事件。在此之前,Sandworm團(tuán)隊(duì)就曾對(duì)歐洲和美國的關(guān)鍵系統(tǒng)進(jìn)行過攻擊,這不但暴露出了該團(tuán)隊(duì)的攻擊性,而且也表明他們對(duì)關(guān)鍵系統(tǒng)以及基礎(chǔ)設(shè)施非常感興趣。除此之外,在2015年的戰(zhàn)爭期間,他們還對(duì)烏克蘭境內(nèi)的關(guān)鍵設(shè)施進(jìn)行了攻擊,這也進(jìn)一步揭示了他們破壞基礎(chǔ)設(shè)施的渴望。
