专注入侵能源行业公司的网络间谍团伙“黑暗能量”近期更新了他们的武器库,添加了破坏性清除数据的组件和带后门的SSH服务器。该团伙最近攻击了乌克兰配电网和媒体公司,导致电力中断和数据丢失。
该团伙已活跃了好些年,被安全社区根据其主要恶意软件工具的名字冠以“沙虫”(Sandworm)或“黑暗能量” (BlackEnergy)之名。它的主要目标是运营工业控制系统的公司企业,尤其是在能源产业,但也涉及高级政府组织、市政府、联邦应急服务、国家标准机构、银行、学术研究院所和地产公司。
杀毒软件厂商ESET的安全研究人员称,过去几个月里,该团伙攻击了乌克兰媒体和能源产业的公司企业。这些新的攻击行动透露出该团伙技术上的一些改变。
11月,乌克兰计算机应急响应小组(CERT-UA)报告称:该国10月地方选举期间,多家媒体机构遭遇“黑暗能量”恶意软件的攻击,导致视频内容和其他数据的丢失。
ESET研究人员认为,罪魁祸首是一款被称作“杀死硬盘”(KillDisk)的新型“黑暗能量”组件,可配置为删除特定类型的文件并导致受影响的系统无法启动。
用于攻击媒体机构的“杀死硬盘”变种被配置为删除超过4千种类型的文件,其中很多都是视频文件和文档。
同一组件也被用在了最近对乌克兰能源公司的攻击中,不过,配置不同。针对能源公司的“杀死硬盘”变种只覆盖了35种文件类型,并且设置了定时攻击选项。
ESET研究人员在博客帖子中说道:“除了具有破坏性木马的典型功能——能够删除系统文件致使系统无法启动,在电力输送公司里检测到的‘杀死硬盘’变种似乎还包含了一些专门用来蓄意毁坏工业系统的额外功能。”
12月23日晚,乌克兰伊万诺-弗兰科夫斯克州(Ivano-Frankivsk)经历了电力中断。乌克兰新闻服务TSN报道称,该断电是由于有病毒切断了与变电站的连接而造成的。
ESET研究人员认为此次攻击使用了“黑暗能量”恶意软件,而且这不是唯一一款在攻击中出现的恶意软件。
“利用ESET自有的遥测技术,我们发现:被报道的案例不是独立事件,乌克兰其他能源公司也同时被网络罪犯们盯上了。”
“杀死硬盘”组件被应用在其中一些攻击中。除了清除各种不同类型的文件,它还被配置为停止两个特定进程,其中一个可能与ELTIMA以太网串口或ASEM Ubiquity工控系统远程管理平台相关。
这已经不是“黑暗能量”第一次用在对工业控制系统的攻击中了。2014年,美国国土安全局下属的工控系统网络应急响应小组(ICS-CERT)就警告称,运行有来自通用电气、西门子和BroadWin/Advantech公司人机接口(HMI)产品的多家公司系统已遭“黑暗能量”感染。
HMI是提供图形用户界面以监视和操控工业控制系统的软件应用程序。
该团伙武器库中最近添加的另一款武器是被称为“掉熊”(Dropbear)的带后门版本SSH服务器。ESET研究人员曾见到“黑暗能量”攻击者在被预置为进行SSH身份验证时接受硬编码口令和密钥的被感染机器上部署此恶意软件的变种。
下图是按照时间线总结的 黑暗能量 (BlackEnergy)造成的影响:
本文转自d1net(转载)