專注入侵能源行業公司的網絡間諜團伙“黑暗能量”近期更新了他們的武器庫,添加了破壞性清除數據的組件和帶后門的SSH服務器。該團伙最近攻擊了烏克蘭配電網和媒體公司,導致電力中斷和數據丟失。
該團伙已活躍了好些年,被安全社區根據其主要惡意軟件工具的名字冠以“沙蟲”(Sandworm)或“黑暗能量” (BlackEnergy)之名。它的主要目標是運營工業控制系統的公司企業,尤其是在能源產業,但也涉及高級政府組織、市政府、聯邦應急服務、國家標準機構、銀行、學術研究院所和地產公司。
殺毒軟件廠商ESET的安全研究人員稱,過去幾個月里,該團伙攻擊了烏克蘭媒體和能源產業的公司企業。這些新的攻擊行動透露出該團伙技術上的一些改變。
11月,烏克蘭計算機應急響應小組(CERT-UA)報告稱:該國10月地方選舉期間,多家媒體機構遭遇“黑暗能量”惡意軟件的攻擊,導致視頻內容和其他數據的丟失。
ESET研究人員認為,罪魁禍首是一款被稱作“殺死硬盤”(KillDisk)的新型“黑暗能量”組件,可配置為刪除特定類型的文件并導致受影響的系統無法啟動。
用于攻擊媒體機構的“殺死硬盤”變種被配置為刪除超過4千種類型的文件,其中很多都是視頻文件和文檔。
同一組件也被用在了最近對烏克蘭能源公司的攻擊中,不過,配置不同。針對能源公司的“殺死硬盤”變種只覆蓋了35種文件類型,并且設置了定時攻擊選項。
ESET研究人員在博客帖子中說道:“除了具有破壞性木馬的典型功能——能夠刪除系統文件致使系統無法啟動,在電力輸送公司里檢測到的‘殺死硬盤’變種似乎還包含了一些專門用來蓄意毀壞工業系統的額外功能。”
12月23日晚,烏克蘭伊萬諾-弗蘭科夫斯克州(Ivano-Frankivsk)經歷了電力中斷。烏克蘭新聞服務TSN報道稱,該斷電是由于有病毒切斷了與變電站的連接而造成的。
ESET研究人員認為此次攻擊使用了“黑暗能量”惡意軟件,而且這不是唯一一款在攻擊中出現的惡意軟件。
“利用ESET自有的遙測技術,我們發現:被報道的案例不是獨立事件,烏克蘭其他能源公司也同時被網絡罪犯們盯上了。”
“殺死硬盤”組件被應用在其中一些攻擊中。除了清除各種不同類型的文件,它還被配置為停止兩個特定進程,其中一個可能與ELTIMA以太網串口或ASEM Ubiquity工控系統遠程管理平臺相關。
這已經不是“黑暗能量”第一次用在對工業控制系統的攻擊中了。2014年,美國國土安全局下屬的工控系統網絡應急響應小組(ICS-CERT)就警告稱,運行有來自通用電氣、西門子和BroadWin/Advantech公司人機接口(HMI)產品的多家公司系統已遭“黑暗能量”感染。
HMI是提供圖形用戶界面以監視和操控工業控制系統的軟件應用程序。
該團伙武器庫中最近添加的另一款武器是被稱為“掉熊”(Dropbear)的帶后門版本SSH服務器。ESET研究人員曾見到“黑暗能量”攻擊者在被預置為進行SSH身份驗證時接受硬編碼口令和密鑰的被感染機器上部署此惡意軟件的變種。
下圖是按照時間線總結的 黑暗能量 (BlackEnergy)造成的影響:
京公網安備 11010502049343號