近日,安全機構發現有網絡間諜集團重新構建了一款名為BlackEnergy的惡意軟件程序,利用該惡意軟件不僅可以向Windows電腦發起攻擊,還可以向基于ARM或MIPS架構的路由器和Linux系統展開破壞。
Linux、思科網絡設備可受攻擊
本周一,網絡安全研究人員在最新的安全報告中表示,近期有網絡間諜集團為一款BlackEnergy惡意軟件開發了新的可自定義模塊,來賦予其新的攻擊性能和隱蔽性。據悉,該惡意軟件最初是為了讓網絡犯罪分子方便發動DDos(分布式拒絕服務)攻擊而進行設計的。
從報告中了解到,目前在Windows和Linux系統中同時被發現有針對于BlackEnergy的變種插件存在,而且該惡意軟件的功能被進行增強和改進,可以執行諸如端口掃描、竊取密碼、系統信息收集、數字證書盜竊、遠程桌面連接,甚至是抹除硬盤上的數據等等。
研究人員稱,根據網絡間諜集團的攻擊目標和受害者設備系統的不同,BlackEnergy惡意軟件可以通過在每個受害者機器上,部署不同的插件用于構建命令及控制(C&C)服務器。
在一個案例中,攻擊者下載并執行了一個被稱為“dstr”的BlackEnergy插件,之后便摧毀了一個機構里Windows電腦上的所有數據。“總而言之,攻擊者利用‘dstr’模塊,可以方便地在受害者設備上展開攻擊或進行潛伏隱藏”,研究人員表示,“一些被植入該插件的機器收到指令,便會丟失數據或變成無法開機狀態。”
在另一個案例中,某機構里的一些Windows電腦數據在遭受破壞后,即使修復也無法通過Telnet對思科路由器進行訪問。研究人員稱,當他們調查時,發現通過BlackEnergy,攻擊者在路由器上留下幾個“告別”的腳本。
而這些腳本已經被用于清除攻擊者在受控路由器上留下做過什么的痕跡,其中一個腳本上存在有“Cisc0 API Tcl extension for B1ack En3rgy b0t”,這樣直言不諱的字樣。
威脅工業控制系統網絡
根據研究發現,該網絡間諜集團似乎還對將運行中的工業控制系統作為攻擊目標,特別感興趣,尤其是一些能源部門。已經被確認為受害者的機構中包括電廠運營部門、電力設施建設公司、大功率相關材料供應商和制造商,以及能源部門的投資者等等。而這也正巧符合美國國土安全部下屬的工業控制系統網絡緊急響應小組(ICS-CERT) 近期的的調查結果。
在上個星期的一項安全警報中,ICS-CERT警告說運行人機界面(human-machine interface,HMI)產品的多個公司系統中已感染了BlackEnergy惡意軟件,其中包括有General Electric(通用電氣)、Siemens(西門子)、BroadWin、Advantech等等企業。
注:人機界面是一款為監測和與工業控制系統進行交互提供圖形用戶界面的軟件應用程序。
除了對工業控制系統運營商有興趣外,該網絡間諜集團還將高級別政府組織、市政辦公室、聯邦緊急服務、國家標準機構、銀行、學術研究機構等組織鎖定為目標。目前已確定的BlackEnergy受害者,在至少20個國家里分布著,破壞影響廣泛。
雖然現在尚不清楚這個網絡間諜集團被誰操縱,但有跡象表明該集團利用過屬于俄羅斯國防部的IP地址進行DDoS攻擊。
據悉,有安全團隊認為BlackEnergy是一款流通在俄羅斯的地下網絡的犯罪軟件,其最早能夠追溯到2007年。剛開始,它被設計為一個在DDos攻擊中創建僵尸網絡的工具。隨著時間的推移,這款惡意軟件已經演變為支持各種插件,插件能夠基于攻擊的意圖進行組合以提供必要的功能。
BlackEnergy 1的構建器界面
BlackEnergy最初版本出現在2007年,本文中稱之為BlackEnergy 1。一個后續的變種(BlackEnergy 2)在2010年發布。我們也碰到了一個以前未曾見到過的變種,該變種已被重寫并對配置數據采用了不同的保存格式。它不再使用驅動組件。我們把這個新變種稱之為BlackEnergy 3。
BlackEnergy 版本演化過程
鑒于該工具的特點,Blackenergy已被不同團伙用于不同的用途。有些團伙利用它發送垃圾郵件;另一些用來盜取銀行憑證。有明顯案例顯示是在2008年俄格沖突期間,該工具被用來對格魯吉亞實施的網絡攻擊。
該BlackEnergy工具帶有一個構建器(builder)應用程序,生成感染受害者機器的客戶端。同時該工具還配備了服務器端腳本,用于構建命令及控制(C&C)服務器。這些腳本也提供了一個接口,攻擊者可以通過接口控制僵尸機。該工具具有簡單易用的特點,意味著任何人只要能接觸到這個工具,就可以利用它來構建自己的僵尸網絡。
今年夏天,該安全團隊注意到BlackEnery的最新樣本正在為攻擊烏克蘭政府機構進行定制更新。而BlackEnergy這次的變化,正值當時烏克蘭政局動蕩之時,這就很可能是攻擊者利用這些BlackEnergy惡意軟件從目標中竊取情報的動作了。
京公網安備 11010502049343號