Sandworm團隊，在歷史上曾多次對烏克蘭的政府機構發起過攻擊，而且他們也非常熱衷于攻擊工業自動化控制系統。

在上周，iSIGHT Partners公司曾為我們全球范圍內的客戶提供了有關此次烏克蘭停電事件的相關細節。我們已經從相關設備中提取了有關此次網絡間諜活動的數據，并對取證信息進行了分析和檢測。目前，我們還無法得到有關此次事件的具體細節信息，但是鑒于此次事件的惡意性質，尤其是在此次事件中黑客還使用了破壞性惡意軟件，我們其實并不希望有太多的詳細信息被曝光出來。

但是，在我們仔細的分析和研究之后，我們將此次事件與Sandworm團隊聯系了起來，主要是因為此次事件中的攻擊者使用了BlackEnergy 3，而這款惡意軟件已經成為了這個黑客團伙的代名詞。

iSIGHT Partners已經對Sandworm團隊的活動進行了追蹤并觀察了一段時間，我們還曾公開報道了他們在2014年10月份的一些黑客行動，當時我們發現他們曾利用過一個0 day漏洞-CVE-2014-4114。在當時的黑客行動中，我們發現他們的攻擊目標是烏克蘭的政府官員，以及歐盟和北約組織的成員。就在他們將間諜行動所獲取到的信息公布出來之后，趨勢科技公司的研究人員發現，這些攻擊者不僅進行了常規的網絡間諜攻擊，而且還針對工業自動化控制系統進行了攻擊，而且這一發現已經得到了確認。目前，我們已經收集了大量相關的證據，iSIGHT Partners公司隨后也發表了一篇博文，并認為這些間諜活動是在為之后的網絡攻擊進行踩點和偵查。ICS-CERT同樣也發表了一份有關此次事件的公告。

Sandworm團伙的活動-從2014年至今

在2014年10月份被曝光之后，Sandworm團隊便銷聲匿跡了。然而，在2015年初，像BlackEnergy 3這樣特點鮮明的惡意軟件變種卻再度出現在了烏克蘭，而我們當初就是在烏克蘭發現了Sandworm團隊的活動蹤跡。在過去的一年中(2015年)，我們發現使用了BlackEnergy 3的入侵活動數量明顯呈現出了上升趨勢。我們發現這種惡意軟件新增了許多功能，我們也警告了我們的客戶，在分析之后，我們還認為攻擊者可能會對歐洲的相關組織和機構產生濃厚的興趣。但是，當時我們無法確定攻擊者具體的攻擊目標。除此之外我們還警告客戶，在這一系列的網絡攻擊之后，烏克蘭地區的媒體機構和地區電力部門很有可能都會遭受到網絡攻擊。ESET公司的研究人員同樣也對Sandworm團隊進行了長時間的追蹤和觀察，而且他們也發布了類似的警告信息。

針對烏克蘭發電站的攻擊事件

上周，iSIGHT公司向我們提供了一份相同的KillDisk惡意軟件代碼。今年十月份，烏克蘭的相關政府部門在烏克蘭大選期間曾遭受過黑客的攻擊，而我們在進行了相應的分析和研究之后，我們認為這個KillDisk惡意軟件與當時黑客所使用的破壞性惡意軟件之間有著某種聯系。當時，CERT-UA認為該事件與BlackEnergy 3有關。賽門鐵克公司已經證實了這些觀點。除此之外，iSIGHT公司的研究人員在對證據進行了分析之后認為，在受到了KillDisk感染的烏克蘭電力系統之中，至少有一個地區的電力系統受到了BlackEnergy 3惡意軟件的攻擊。

烏克蘭國家安全局在其官方網站中發表了一份聲明，并表示：目前，iSIGHT Partners公司仍在收集有關此次停電事件的相關證據信息，并且該公司的研究人員也在努力嘗試分析出KillDisk惡意軟件在此次事件中扮演的到底是怎樣的一個角色。我們現在并不能確認此次的停電事件是否是由KillDisk惡意軟件所導致。但是據我們所知，攻擊者曾利用過這款惡意軟件對電力部門的相關設備進行了操作，也許是為了使恢復工作變得更加困難，也有可能是為了防治電力部門的工作人員發現他們的攻擊行為。值得注意的是，當時攻擊者還對電力部門的技術支持電話進行了“洪泛攻擊”，導致發電站的整個技術支持部門完全處于癱瘓狀態。

展望

盡管這種類型的網絡攻擊是可以預測到的，但它仍然是一種里程碑式的事件。在此之前，Sandworm團隊就曾對歐洲和美國的關鍵系統進行過攻擊，這不但暴露出了該團隊的攻擊性，而且也表明他們對關鍵系統以及基礎設施非常感興趣。除此之外，在2015年的戰爭期間，他們還對烏克蘭境內的關鍵設施進行了攻擊，這也進一步揭示了他們破壞基礎設施的渴望。