乌克兰计算机应急响应小组 (CERT-UA) 破坏了 Sandworm 黑客组织的企图,该组织为俄罗斯军事情报部门工作,旨在摧毁一家乌克兰能源供应商。
CERT-UA周二在安全公告中表示,俄罗斯支持的黑客组织试图使用臭名昭著的 Industroyer 恶意软件的新版本断开未具名供应商的变电站。 2016 年,Sandworm APT 集团使用 Industroyer 在乌克兰断电,导致圣诞节前两天数十万客户断电。
与 CERT-UA 合作分析和修复攻击的网络安全公司 ESET 的研究人员表示,他们“非常有信心”评估工业控制系统 (ICS)恶意软件是使用 2016 年部署的恶意软件的源代码构建的,它当时被称为“自Stuxnet以来对工业控制系统的最大威胁”。
被研究人员称为“Industroyer2”的新变种被黑客部署,试图对高压变电站造成破坏。它与 CaddyWiper(3 月份首次观察到针对乌克兰银行的破坏性擦除恶意软件)一起使用。 它被植入运行 Windows 的系统上,以试图消除攻击痕迹。 攻击者还使用称为 Orcshred、Soloshred 和 Awfulshred 的其他擦除恶意软件变种来攻击该组织的Linux服务器。
安全公告称,攻击者“不迟于 2 月 22 日”入侵了这家能源供应商的网络,并计划于 4 月 8 日切断乌克兰地区的电力供应。 然而,CERT-UA 表示,“到目前为止,[Sandworm’s] 恶意计划的实施已被阻止。” ESET 表示,它还不知道攻击者是如何入侵受害者的,也不知道他们是如何从 IT 网络转移到 ICS 网络的。
“乌克兰再次成为针对其关键基础设施 (KRITIS) 的网络攻击的中心。这次新的 Industroyer 活动是针对乌克兰各个部门的多波雨刷器,” ESET 在其对此次攻击的技术分析中表示。 “我们将继续监控威胁形势,以保护组织免受这些类型的破坏性攻击。”
就在FBI 披露其在 3 月执行一项针对针对华硕和 WatchGuard 设备的大型 Sandworm 链接僵尸网络控制的行动的几天后,这一成功的中断发生了。这个名为 Cyclops Blink 的僵尸网络被认为是 VPNFilter 的继任者,VPNFilter 感染了全球数以千计的家庭和小型企业路由器和网络设备。
Sandworm 黑客组织还与最近针对美国卫星通信提供商 Viasat的网络攻击有关,该攻击引发了中欧和东欧的卫星服务中断。