在資安公司 ESET 和微軟研究人員的幫助下,烏克蘭官員表示成功阻止了一起針對能源設施的網路攻擊。在本次阻止攻擊過程中,它們發現了 Industroyer 的新變種,它是一個臭名昭著的惡意軟體,在 2016 年被 Sandworm APT 組織用來切斷烏克蘭的電力。
烏克蘭政府電腦應急小組(CERT-UA)表示,該攻擊使用 Industroyer 變體嘗試對“幾個基礎設施”發起攻擊,包括高壓變電站、設施的電腦、網路設備和執行 Linux 作業系統的伺服器設備。
CERT-UA 解釋說:「受害組織遭受了兩波攻擊。最初的時間發生在 2022 年 2 月之前。變電站的斷電和公司基礎設施的離線被安排在2022年4月8日星期五晚上進行。同時,到目前為止,惡意計畫的實施已經被阻止了。」
ESET在關於這一情況的解釋中說,它還看到攻擊者使用了其他幾個破壞性的惡意軟體家族,包括CaddyWiper、ORCSHRED、SOLOSHRED和AWFULSHRED。
ESET說,它不確定攻擊者是如何入侵最初的受害者的,也不確定他們如何設法從IT網路轉移到工業控制系統(ICS)網路。但CERT-UA說,攻擊者能夠"透過創建SSH隧道鏈"在不同網段之間橫向移動。
根據ESET的資料,其實利用網路對烏克蘭進行斷電攻擊已經不是第一次了。早在 2016年12月17日,烏克蘭首都基輔就遭到停電襲擊。 當地調查人員後來證實,能源中斷是由網路攻擊造成的。 此後不久,ESET研究人員分析了一個復雜的新型惡意軟體,這是此案的主要嫌疑人。 他們將其命名為Industroyer--自Stuxnet以來對工業控制系統(ICS)的最大威脅。
Industroyer對基礎建設威脅甚大,能直接控制電廠的配電變電所開關及輸電網路的斷路器。Industroyer核心是一種後門程式,能為安裝及控制其他元件,並連向遠端C&C伺服器,由攻擊者下令行動並回報攻擊者。
這種危險的惡意軟體是為了利用ICS這些系統及其使用的通信協議的弱點而開發的,因為幾十年前開發的工業控制系統,幾乎沒有安全措施。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!