造成烏克蘭大停電的惡意程式,不只威脅能源產業

導致12月兩起烏克蘭電力設施中斷的攻擊者,可能也曾試圖對烏克蘭礦業公司及大型鐵路公司進行類似攻擊。

【延伸閱讀:第一起由惡意軟體造成的6小時大斷電,導致烏克蘭數十萬戶住家停電】

 

這證明造成烏克蘭停電事件有關的惡意程式BlackEnergy不僅只是能源產業的問題;而延伸成為各產業的威脅,不管是公共事業和私營企業都應該意識到並準備好保護自己。雖然上述攻擊的動機一直是被重度炒作的話題,其主要目的似乎是為了癱瘓烏克蘭公共和關鍵基礎設施,可能是出自於政治動機。

我們檢視原有的入侵指標有了這些發現,包括BlackEnergy偵察和橫向移動工具及KillDisk(磁碟清除惡意軟體)等。趨勢科技追查與此事件相關的其他感染或惡意軟體。我們很快就發現Prykarpattya Oblenergo和Kyivoblenergo並非此最新BlackEnergy攻擊活動的唯一目標。

根據公開來源情報(OSINT)和趨勢科技主動式雲端截毒服務  Smart Protection Network所取得的資料,我們發現BlackEnergy和KillDisk可能也被用來攻擊烏克蘭一家大型礦業公司及一家大型鐵路公司。此外,礦業和鐵路公司所感染的惡意軟體可能與兩起電力設施攻擊中所用的BlackEnergy和KillDisk使用相同的基礎設施。

 

大型烏克蘭礦業公司的相關惡意軟體

在趨勢科技的調查過程中,我們看到攻擊烏克蘭電力設施的BlackEnergy樣本也被用來攻擊烏克蘭礦業公司。惡意軟體amdide.sys(SHA1值:2D805BCA41AA0EB1FC7EC3BD944EFD7DBA686AE1)似乎在2015年11月就被用來感染其目標。其他被用來攻擊烏克蘭電力設施及礦業公司的樣本有:

  • sys:C7E919622D6D8EA2491ED392A0F8457E4483EAE9
  • sys:0B4BE96ADA3B54453BD37130087618EA90168D72

我們還看到另一個檔名為aliide.sys的惡意軟體(SHA1值:C7E919622D6D8EA2491ED392A0F8457EA240)似乎也攻擊同一家公司。BlackEnergy樣本的命名方式似乎跟攻擊烏克蘭電力設施的樣本一樣。該樣本被標記為BlackEnergy,具備跟烏克蘭電力設施攻擊事件中樣本相同的功能。此外,該樣本也使用相同的基礎設施。在此案例中所使用的網址是88[點]198[點]25[點]92:443 /fHKfvEhleQ/maincraft/derstatus.php。

其他相關的BlackEnergy樣本有:

  • sys:2D805BCA41AA0EB1FC7EC3BD944EFD7D
  • sys:0B4BE96ADA3B54453BD37130087618EA

 

上述兩個樣本都會跟146[點]0[點]74[點]7:443/l7vogLG/BVZ99/rt170v/solocVI/eegL7p.php進行通訊,這個CnC也被用在烏克蘭電力設施攻擊事件中。這些BlackEnergy樣本都被用在2015年的11月和12月間。

不幸的是,這間礦業公司也遭受多個KillDisk變種所攻擊。雖然並沒有看到攻擊電力設施的樣本被用來攻擊礦業公司,但這些樣本執行跟攻擊烏克蘭電力設施樣本相同的功能,只有極少的差別。

我們確實看到KillDisk也出現在烏克蘭電力設施攻擊事件中。有兩個樣本引起我們的注意,svchost.exe(SHA1值:8AD6F88C5813C2B4CD7ABAB1D6C056D95D6AC569)和crab.exe(SHA1值:16f44fac7e8bc94eccd7ad9692e6665ef540eec4)。這兩個用來攻擊烏克蘭電力設施的樣本都可能被拿來對付這間大型礦業公司。

 

類似惡意軟體出現在大型烏克蘭鐵路公司

跟烏克蘭礦業公司攻擊事件一樣,我們也看到KillDisk被用來攻擊一間大型烏克蘭鐵路公司,它是烏克蘭全國鐵路系統的一部分。惡意軟體tsk.exe(SHA1值:f3e41eb94c4d72a98cd743bbb02d248f510ad925)被標記為KillDisk,被用來攻擊電力設施同時也攻擊了鐵路公司。這似乎是唯一跟烏克蘭電力設施攻擊事件相關的惡意軟體。雖然我們無法證明BlackEnergy出現在鐵路系統中,但可以假設其可能潛藏於網路中某處。

 

我們的理論

根據我們的研究,我們相信這兩個受害者或烏克蘭電力設施攻擊的背後可能有著相同的人物。其所使用的惡意軟體、基礎設施和命名方式都有顯著的重疊,而且在一定程度上,使用這些惡意軟體的時間也有重疊,因此讓我們相信相同的惡意分子不僅攻擊了電力設施,也攻擊了烏克蘭的大型礦業和鐵路公司。

這些事件的真相有許多種可能性,有三種可能性特別突出。其中之一是,攻擊者可能想經由對電力、礦業、交通設施的大規模或持續干擾來癱瘓烏克蘭。另一種可能性是,攻擊者部署惡意軟體到不同關鍵基礎設施系統來判斷哪一個最容易滲透,隨後來加以取得控制。一個可能理論是礦業和鐵路公司中所看到的惡意軟體只是在初步階段,攻擊者只是想測試其程式碼。

無論是哪一種,針對工業控制系統(ICS)的攻擊都必須以非常嚴肅的態度處理,因為其對現實世界會造成嚴重影響。此外,再次強調,這次攻擊事件顯示出任何組織,無論其業務性質或大小都可能成為目標。有鑑於BlackEnery攻擊活動會帶來破壞性的後果(KillDisk),如果公司認為自己並沒那麼關鍵或無需面對公眾而產生虛假的安全感,認為自己不會被攻擊,可能會突然地發現自己的運作或業務能力陷入了停擺。

 

關於我們所追蹤的2015年BlackEnergy 攻擊活動入侵指標列表可以參考此附錄

 

@原文出處:KillDisk and BlackEnergy Are Not Just Energy Sector Threats作者:Kyle Wilhoit(資深威脅研究員)

Deep Security

 

540x90 line《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。


▼ 歡迎加入趨勢科技社群網站▼

好友人數


【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載