乌克兰阻止俄罗斯黑客集团Sandworm针对该国电厂的攻击

乌克兰计算机紧急应变小组(CERT-UA)周二(4/12)指出,已在微软与ESET的协助下,阻止了俄罗斯黑客集团Sandworm针对该国电厂所展开的攻击行动。

Sandworm的攻击行动分为前后两波,第一波发生在今年2月,Sandworm成功渗透了乌克兰电厂,虽然乌克兰没能预防第一波的入侵,但成功阻止了Sandworm预计于4月8日展开、企图切断乌克兰电厂能力的第二波攻击。

根据ESET所公布的第二波攻击进程,Sandworm在4月8日于该电网的Windows、Linux及Solaris等系统上部署了破坏性恶意程序CaddyWiper,它能永远删除磁盘上的资料;同一天预计执行的则是可用来破坏高压变电所运行能力的Industroyer2,以及删除Industroyer2足迹的CaddyWiper。

图片来源/ESET

Sandworm在2016年便曾以Industroyer攻击乌克兰电厂,并造成当地大停电,当时的ESET即曾分析,Industroyer利用缺乏安全机制的工业通信协议与电厂的工业控制系统交流,可直接控制变电所开关与输电网络的断路器,ESET基于源码的重复性,相信Industroyer2是Industroyer的变种,具备更弹性的配置能力。

有别于Industroyer在5年前就现身过,ESET是在今年3月才发现CaddyWiper的踪迹,它先于3月14日被用来攻击乌克兰的银行,再于4月1日攻击乌克兰的政府组织,一直到4月8日才出现在乌克兰的电厂中。

俄罗斯与乌克兰的攻防战从实体迅速扩大到网络,多数的西方国家谴责俄罗斯的侵犯行为,并站在支持乌克兰的立场,不仅提供实质的军备给乌克兰,也在网络威胁上提供协助,例如微软也于日前接管了另一个俄罗斯黑客组织Fancy Bear用来攻击乌克兰的7个域名。

发表评论