搞掉电网的“黑暗能量”新增磁盘擦除和SSH后门工具

专注入侵能源行业公司的网络间谍团伙“黑暗能量”近期更新了他们的武器库,添加了破坏性清除数据的组件和带后门的SSH服务器。该团伙最近攻击了乌克兰配电网和媒体公司,导致电力中断和数据丢失。

该团伙已活跃了好些年,被安全社区根据其主要恶意软件工具的名字冠以“沙虫”(Sandworm)或“黑暗能量” (BlackEnergy)之名。它的主要目标是运营工业控制系统的公司企业,尤其是在能源产业,但也涉及高级政府组织、市政府、联邦应急服务、国家标准机构、银行、学术研究院所和地产公司。

杀毒软件厂商ESET的安全研究人员称,过去几个月里,该团伙攻击了乌克兰媒体和能源产业的公司企业。这些新的攻击行动透露出该团伙技术上的一些改变。

11月,乌克兰计算机应急响应小组(CERT-UA)报告称:该国10月地方选举期间,多家媒体机构遭遇“黑暗能量”恶意软件的攻击,导致视频内容和其他数据的丢失。

ESET研究人员认为,罪魁祸首是一款被称作“杀死硬盘”(KillDisk)的新型“黑暗能量”组件,可配置为删除特定类型的文件并导致受影响的系统无法启动。

用于攻击媒体机构的“杀死硬盘”变种被配置为删除超过4千种类型的文件,其中很多都是视频文件和文档。

同一组件也被用在了最近对乌克兰能源公司的攻击中,不过,配置不同。针对能源公司的“杀死硬盘”变种只覆盖了35种文件类型,并且设置了定时攻击选项。

ESET研究人员在博客帖子中说道:“除了具有破坏性木马的典型功能——能够删除系统文件致使系统无法启动,在电力输送公司里检测到的‘杀死硬盘’变种似乎还包含了一些专门用来蓄意毁坏工业系统的额外功能。”

12月23日晚,乌克兰伊万诺-弗兰科夫斯克州(Ivano-Frankivsk)经历了电力中断。乌克兰新闻服务TSN报道称,该断电是由于有病毒切断了与变电站的连接而造成的。

ESET研究人员认为此次攻击使用了“黑暗能量”恶意软件,而且这不是唯一一款在攻击中出现的恶意软件。

“利用ESET自有的遥测技术,我们发现:被报道的案例不是独立事件,乌克兰其他能源公司也同时被网络罪犯们盯上了。”

“杀死硬盘”组件被应用在其中一些攻击中。除了清除各种不同类型的文件,它还被配置为停止两个特定进程,其中一个可能与ELTIMA以太网串口或ASEM Ubiquity工控系统远程管理平台相关。

这已经不是“黑暗能量”第一次用在对工业控制系统的攻击中了。2014年,美国国土安全局下属的工控系统网络应急响应小组(ICS-CERT)就警告称,运行有来自通用电气、西门子和BroadWin/Advantech公司人机接口(HMI)产品的多家公司系统已遭“黑暗能量”感染。

HMI是提供图形用户界面以监视和操控工业控制系统的软件应用程序。

该团伙武器库中最近添加的另一款武器是被称为“掉熊”(Dropbear)的带后门版本SSH服务器。ESET研究人员曾见到“黑暗能量”攻击者在被预置为进行SSH身份验证时接受硬编码口令和密钥的被感染机器上部署此恶意软件的变种。

下图是按照时间线总结的 黑暗能量 (BlackEnergy)造成的影响:


本文转自d1net(转载)

时间: 2024-10-22 19:16:28

搞掉电网的“黑暗能量”新增磁盘擦除和SSH后门工具的相关文章

iOS 7新增了一个无线点对点分享工具AirDrop

&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;   硅谷网讯 苹果周三正式面向 普通用户开放了iOS 7更新,全 新的iOS 7支持以下设备:iPhone 4/4S/5,iPhone 5c和iPhone 5s:iPad 2/3/4,iPad mini: iPod touch 5. iOS 7是iOS系统自2007年iPhone发布以来最大一次升级,它 采用全新的图标界面设计,总计有上百项改动,其中包括控制中心 .

亲历者讲述:我如何搞掉苹果36技术黑产,追回过亿资产

  2016年年中,苹果公司开始给 APPLE Store 的商户进行季度结算,负责和苹果对接的腾讯游戏的相关员工觉得不对劲:苹果给的金额和我们的实际销售金额怎么相差这么多? 由于数额较大,腾讯方面立马派出人员和苹果对接,追问这一笔丢失的款项.苹果结算部门在美国,一开始,没有找到申诉的正确方向,腾讯方面隐隐觉得,莫不是跟黑产薅羊毛有关. 究竟是怎么回事?巨大的疑团摆在面前. 腾讯安全管理专家马瑞凯告诉雷锋网,涉及巨额资产,刚开始就想报警,但是此类新型网络案件,在报案前都需要捋清作案手法,警方才能

如何黑掉一台大切诺基?你需要的资料和工具都在这里(请勿在家尝试)

早在2015年,Charlie Miller和Chris Valasek这对黑客侠侣就成功黑掉了一台吉普大切诺基,遥控油门刹车导致车辆失控,并在当年拉斯维加斯的BlackHat黑帽大会上出尽风头,这也直接导致克莱斯勒召回了140万台切诺基升级安全补丁. 但是事情并未完结,Chris同志16年再次黑掉了大切诺基(跟这款车有仇?),并且公开了整个攻击的所有笔记.文档和工具包(包括他们自己写的Pyhton攻击文件).而这些资料,即使在今天来看,依然颇具研究价值. 你上你也CAN? 众所周知CAN(控制

Vmware扩展磁盘如何不需重启系统

   在虚拟机Vmware中我们有时候需要添加新的虚拟磁盘或给已有虚拟磁盘扩容(expand),在新增磁盘或磁盘扩容后,Linux系统并不能马上识别 到.也就是说你看不到磁盘空间变化(使用fdisk -l查看),这时我们可以通过重启系统(reboot)解决这个问题,但是很多时候,我们并不想在存储扩容时重启系统,因为这样会影响到现有的业务系统. 那么为什么新增磁盘或磁盘扩容后,Linux系统识别不到呢?这个是因为连接存储设备的SCSI总线需要重新扫描,才能识别到这些新的存储设备.下面测试 一下在添

Linux系统SCSI磁盘扫描机制解析及命令详细介绍

  介绍 Linux系统扫描SCSI磁盘有几种方式?Linux新增LUN之后,能否不重启主机就认出设备?如果安装了PowerPath,动态添加/删除LUN的命令是什么?本文总结了Linux主机对磁盘设备进行重新配置的方式,并附加命令实例. 更多信息 Linux系统提供多重机制以重新扫描SCSI总线并重认系统中加入的SCSI设备.在2.4内核方案中,由于动态LUN扫描机制不具备一致性,往往需要中断I/O. 2.6内核里,LUN扫描有了显著改进并添加了动态LUN扫描机制.Linux目前缺乏像drvc

Win8.1 Update增磁盘空间功能

  微软Windows 8.1 Update的更新下载文件已经被国外大神曝光于网上,不少发烧友已经下载体验过这个版本.在Win8.1 Update版本号为Windows Blue 9600.16596中新增了一项"磁盘空间"功能,能够帮助用户查看和管理Modern应用.多媒体文件和回收站的磁盘空间占用情况. 由于泄露版本为单语言版本,使用该版本的用户可以通过打开PC Setting(电脑设置).PC and Devices(电脑和设备)和进入到Disk Space(磁盘空间)的功能视图

vbox如何直接存取物理磁盘分区

  把win7作为虚拟机的一个问题是磁盘空间不够用, 一个常规的办法是使用共享文件夹,我使用这种方式遇到了两个大问题: 1. 不能创建文件. 2. 映射为盘符后,不能执行里面的可执行文件(直接在VBOXSRV 里面倒是可以,不过cmd不能切过去) 今天突然想到,能不能把磁盘分区直接给vbox用,我搜索"vbox direct access disk partition"的确是可以的: sudo VBoxManage internalcommands createrawvmdk -fil

win7旗舰版磁盘分区以及磁盘分区表还原恢复方法

Ghost win7旗舰版磁盘分区以及磁盘分区表还原恢复方法由Windows7系统之家率先分享给大家! 分区表是将大表的数据分成称为分区的许多小的子集.倘若硬盘丢失了分区表,数据就无法按顺序读取和写入,导致无法操作.如果硬盘分区表被破坏或删除,windows7系统将无法识别硬盘.遇到该问题怎么还原磁盘分区呢?方法如下所示,提供给大家参考使用. 硬盘分区表一般在硬盘的初始磁面0磁面.如果不小心K掉了磁盘分区表可以通过分区工具来进行win7磁盘分区还原. 在windows之家的系统ISO镜像里有一项

kvm虚拟化学习笔记(十二)之kvm linux虚拟机在线扩展磁盘

原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://koumm.blog.51cto.com/703525/1295296 KVM虚拟化学习笔记系列文章列表 ---------------------------------------- kvm虚拟化学习笔记(一)之kvm虚拟化环境安装http://koumm.blog.51cto.com/703525/1288795 kvm虚拟化学习笔记(二)之linux kvm虚拟机安装 h