您当前位置:首页 > 资讯中心 > 业内新闻

Sandworm团队与乌克兰电力部门的攻击事件有关

Sandworm团队,在历史上曾多次对乌克兰的政府机构发起过攻击,而且他们也非常热衷于攻击工业自动化控制系统。

Sandworm团队与乌克兰电力部门的攻击事件有关

在上周,iSIGHT Partners公司曾为我们全球范围内的客户提供了有关此次乌克兰停电事件的相关细节。我们已经从相关设备中提取了有关此次网络间谍活动的数据,并对取证信息进行了分析和检测。目前,我们还无法得到有关此次事件的具体细节信息,但是鉴于此次事件的恶意性质,尤其是在此次事件中黑客还使用了破坏性恶意软件,我们其实并不希望有太多的详细信息被曝光出来。

但是,在我们仔细的分析和研究之后,我们将此次事件与Sandworm团队联系了起来,主要是因为此次事件中的攻击者使用了BlackEnergy 3,而这款恶意软件已经成为了这个黑客团伙的代名词。

iSIGHT Partners已经对Sandworm团队的活动进行了追踪并观察了一段时间,我们还曾公开报道了他们在2014年10月份的一些黑客行动,当时我们发现他们曾利用过一个0 day漏洞-CVE-2014-4114。在当时的黑客行动中,我们发现他们的攻击目标是乌克兰的政府官员,以及欧盟和北约组织的成员。就在他们将间谍行动所获取到的信息公布出来之后,趋势科技公司的研究人员发现,这些攻击者不仅进行了常规的网络间谍攻击,而且还针对工业自动化控制系统进行了攻击,而且这一发现已经得到了确认。目前,我们已经收集了大量相关的证据,iSIGHT Partners公司随后也发表了一篇博文,并认为这些间谍活动是在为之后的网络攻击进行踩点和侦查。ICS-CERT同样也发表了一份有关此次事件的公告。

Sandworm团伙的活动-从2014年至今

在2014年10月份被曝光之后,Sandworm团队便销声匿迹了。然而,在2015年初,像BlackEnergy 3这样特点鲜明的恶意软件变种却再度出现在了乌克兰,而我们当初就是在乌克兰发现了Sandworm团队的活动踪迹。在过去的一年中(2015年),我们发现使用了BlackEnergy 3的入侵活动数量明显呈现出了上升趋势。我们发现这种恶意软件新增了许多功能,我们也警告了我们的客户,在分析之后,我们还认为攻击者可能会对欧洲的相关组织和机构产生浓厚的兴趣。但是,当时我们无法确定攻击者具体的攻击目标。除此之外我们还警告客户,在这一系列的网络攻击之后,乌克兰地区的媒体机构和地区电力部门很有可能都会遭受到网络攻击。ESET公司的研究人员同样也对Sandworm团队进行了长时间的追踪和观察,而且他们也发布了类似的警告信息。

针对乌克兰发电站的攻击事件

上周,iSIGHT公司向我们提供了一份相同的KillDisk恶意软件代码。今年十月份,乌克兰的相关政府部门在乌克兰大选期间曾遭受过黑客的攻击,而我们在进行了相应的分析和研究之后,我们认为这个KillDisk恶意软件与当时黑客所使用的破坏性恶意软件之间有着某种联系。当时,CERT-UA认为该事件与BlackEnergy 3有关。赛门铁克公司已经证实了这些观点。除此之外,iSIGHT公司的研究人员在对证据进行了分析之后认为,在受到了KillDisk感染的乌克兰电力系统之中,至少有一个地区的电力系统受到了BlackEnergy 3恶意软件的攻击。

乌克兰国家安全局在其官方网站中发表了一份声明,并表示:目前,iSIGHT Partners公司仍在收集有关此次停电事件的相关证据信息,并且该公司的研究人员也在努力尝试分析出KillDisk恶意软件在此次事件中扮演的到底是怎样的一个角色。我们现在并不能确认此次的停电事件是否是由KillDisk恶意软件所导致。但是据我们所知,攻击者曾利用过这款恶意软件对电力部门的相关设备进行了操作,也许是为了使恢复工作变得更加困难,也有可能是为了防治电力部门的工作人员发现他们的攻击行为。值得注意的是,当时攻击者还对电力部门的技术支持电话进行了“洪泛攻击”,导致发电站的整个技术支持部门完全处于瘫痪状态。

展望

尽管这种类型的网络攻击是可以预测到的,但它仍然是一种里程碑式的事件。在此之前,Sandworm团队就曾对欧洲和美国的关键系统进行过攻击,这不但暴露出了该团队的攻击性,而且也表明他们对关键系统以及基础设施非常感兴趣。除此之外,在2015年的战争期间,他们还对乌克兰境内的关键设施进行了攻击,这也进一步揭示了他们破坏基础设施的渴望。

作者:Grabsun - 发布时间:2016-01-12 - 点击量:3912
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们