根據Trend Micro于本周四發布的消息,攻擊者疑似于去年12月針對烏克蘭電力運營商發動襲擊前不久,曾另外對一家礦業公司與一家鐵路運營商發動入侵。這家安全企業表示其最新技術研究顯示同樣的惡意軟件組合——包括BlackEnergy與KillDisk——很可能曾在早期行動當中已經得到使用。其并未明確提到攻擊活動涉及的目標,但具體發生時間為去年11月與12月。
“這些行動在所使用惡意軟件、基礎設施、命名規則以及惡意軟件使用時間方面存在著顯著重疊,”資深威脅研究員Kyle Wilhoit寫道。
針對這兩處公共事業實體——分別為Prykarpattyaoblenergo與Kyivoblenergo——的網絡攻擊已經在安全領域造成廣泛關注,從業者們發現已經有越來越多攻擊活動開始將目標轉向能夠造成嚴重影響的工業控制系統。
Kyivoblenergo方面指出,攻擊期間共30座變電站下線,并在6個小時內造成8萬名客戶失去電力供應。相關運營商隨即以手動方式介入控制,閉合斷路器并重新令服務恢復正常。
該次攻擊活動中所使用的惡意軟件被命名為Black Energy,安全廠商iSight Partners懷疑其可能是代號為Sandworm Team的俄羅斯黑客集團的杰作。自從俄羅斯于2014年吞并克里米亞,其與烏克蘭之間的關系一直處于緊張狀態。
根據Wilhoit的說法,BlackEnergy可能影響到了該大型礦業廠商。感染這兩座實體的惡意軟件會在早期攻擊階段接入同樣的命令與控制服務器 E安全/文,他在報告中寫道。
這家礦業公司還受到了多個KillDisk版本之影響,其目標在于通過重寫主引導記錄(簡稱MBR)導致計算機無法使用。另外,KillDisk還會利用垃圾數據進行文件覆蓋。
“雖然沒有確切的樣本作為證據,但相關工具似乎確實被用于攻擊該礦業企業,通過將樣本與烏克蘭電力公司攻擊軌跡加以對比,二者之間存在大量完全相同的功能——差別非常有限,”Wilhoit寫道。
此外,該鐵路運營商同樣表現出受到KillDisk影響的跡象。Trend Micro公司認為,BlackEnergy可能確實出現在其鐵路管理系統當中。
“本次礦業與鐵路運營商之感染可能只是初步階段,其中攻擊者只是嘗試借此進行代碼庫測試,”Wilhoit寫道。
京公網安備 11010502049343號