專注入侵能源行業公司的網絡間諜團夥“黑暗能量”近期更新了他們的武器庫,添加了破壞性清除資料的元件和帶後門的ssh伺服器。該團夥最近攻擊了烏克蘭配電網和媒體公司,導緻電力中斷和資料丢失。
該團夥已活躍了好些年,被安全社群根據其主要惡意軟體工具的名字冠以“沙蟲”(sandworm)或“黑暗能量” (blackenergy)之名。它的主要目标是營運工業控制系統的公司企業,尤其是在能源産業,但也涉及進階政府組織、市政府、聯邦應急服務、國家标準機構、銀行、學術研究院所和地産公司。
防毒軟體廠商eset的安全研究人員稱,過去幾個月裡,該團夥攻擊了烏克蘭媒體和能源産業的公司企業。這些新的攻擊行動透露出該團夥技術上的一些改變。
11月,烏克蘭計算機應急響應小組(cert-ua)報告稱:該國10月地方選舉期間,多家媒體機構遭遇“黑暗能量”惡意軟體的攻擊,導緻視訊内容和其他資料的丢失。
eset研究人員認為,罪魁禍首是一款被稱作“殺死硬碟”(killdisk)的新型“黑暗能量”元件,可配置為删除特定類型的檔案并導緻受影響的系統無法啟動。
用于攻擊媒體機構的“殺死硬碟”變種被配置為删除超過4千種類型的檔案,其中很多都是視訊檔案和文檔。
同一元件也被用在了最近對烏克蘭能源公司的攻擊中,不過,配置不同。針對能源公司的“殺死硬碟”變種隻覆寫了35種檔案類型,并且設定了定時攻擊選項。
eset研究人員在部落格文章中說道:“除了具有破壞性木馬的典型功能——能夠删除系統檔案緻使系統無法啟動,在電力輸送公司裡檢測到的‘殺死硬碟’變種似乎還包含了一些專門用來蓄意毀壞工業系統的額外功能。”
12月23日晚,烏克蘭伊萬諾-弗蘭科夫斯克州(ivano-frankivsk)經曆了電力中斷。烏克蘭新聞服務tsn報道稱,該斷電是由于有病毒切斷了與變電站的連接配接而造成的。
eset研究人員認為此次攻擊使用了“黑暗能量”惡意軟體,而且這不是唯一一款在攻擊中出現的惡意軟體。
“利用eset自有的遙測技術,我們發現:被報道的案例不是獨立事件,烏克蘭其他能源公司也同時被網絡罪犯們盯上了。”
“殺死硬碟”元件被應用在其中一些攻擊中。除了清除各種不同類型的檔案,它還被配置為停止兩個特定程序,其中一個可能與eltima以太網序列槽或asem ubiquity工控系統遠端管理平台相關。
這已經不是“黑暗能量”第一次用在對工業控制系統的攻擊中了。2014年,美國國土安全局下屬的工控系統網絡應急響應小組(ics-cert)就警告稱,運作有來自通用電氣、西門子和broadwin/advantech公司人機接口(hmi)産品的多家公司系統已遭“黑暗能量”感染。
hmi是提供圖形使用者界面以監視和操控工業控制系統的軟體應用程式。
該團夥武器庫中最近添加的另一款武器是被稱為“掉熊”(dropbear)的帶後門版本ssh伺服器。eset研究人員曾見到“黑暗能量”攻擊者在被預置為進行ssh身份驗證時接受寫死密碼和密鑰的被感染機器上部署此惡意軟體的變種。
下圖是按照時間線總結的 黑暗能量 (blackenergy)造成的影響:
本文轉自d1net(轉載)