根据Trend Micro于本周四发布的消息,攻击者疑似于去年12月针对乌克兰电力运营商发动袭击前不久,曾另外对一家矿业公司与一家铁路运营商发动入侵。这家安全企业表示其最新技术研究显示同样的恶意软件组合——包括BlackEnergy与KillDisk——很可能曾在早期行动当中已经得到使用。其并未明确提到攻击活动涉及的目标,但具体发生时间为去年11月与12月。
“这些行动在所使用恶意软件、基础设施、命名规则以及恶意软件使用时间方面存在着显著重叠,”资深威胁研究员Kyle Wilhoit写道。
针对这两处公共事业实体——分别为Prykarpattyaoblenergo与Kyivoblenergo——的网络攻击已经在安全领域造成广泛关注,从业者们发现已经有越来越多攻击活动开始将目标转向能够造成严重影响的工业控制系统。
Kyivoblenergo方面指出,攻击期间共30座变电站下线,并在6个小时内造成8万名客户失去电力供应。相关运营商随即以手动方式介入控制,闭合断路器并重新令服务恢复正常。
该次攻击活动中所使用的恶意软件被命名为Black Energy,安全厂商iSight Partners怀疑其可能是代号为Sandworm Team的俄罗斯黑客集团的杰作。自从俄罗斯于2014年吞并克里米亚,其与乌克兰之间的关系一直处于紧张状态。
根据Wilhoit的说法,BlackEnergy可能影响到了该大型矿业厂商。感染这两座实体的恶意软件会在早期攻击阶段接入同样的命令与控制服务器 E安全/文,他在报告中写道。
这家矿业公司还受到了多个KillDisk版本之影响,其目标在于通过重写主引导记录(简称MBR)导致计算机无法使用。另外,KillDisk还会利用垃圾数据进行文件覆盖。
“虽然没有确切的样本作为证据,但相关工具似乎确实被用于攻击该矿业企业,通过将样本与乌克兰电力公司攻击轨迹加以对比,二者之间存在大量完全相同的功能——差别非常有限,”Wilhoit写道。
此外,该铁路运营商同样表现出受到KillDisk影响的迹象。Trend Micro公司认为,BlackEnergy可能确实出现在其铁路管理系统当中。
“本次矿业与铁路运营商之感染可能只是初步阶段,其中攻击者只是尝试借此进行代码库测试,”Wilhoit写道。
本文转自d1net(转载)