導致12月兩起烏克蘭電力設施中斷的攻擊者,可能也曾試圖對烏克蘭礦業公司及大型鐵路公司進行類似攻擊。
【延伸閱讀:第一起由惡意軟體造成的6小時大斷電,導致烏克蘭數十萬戶住家停電】
這證明造成烏克蘭停電事件有關的惡意程式BlackEnergy不僅只是能源產業的問題;而延伸成為各產業的威脅,不管是公共事業和私營企業都應該意識到並準備好保護自己。雖然上述攻擊的動機一直是被重度炒作的話題,其主要目的似乎是為了癱瘓烏克蘭公共和關鍵基礎設施,可能是出自於政治動機。
我們檢視原有的入侵指標有了這些發現,包括BlackEnergy偵察和橫向移動工具及KillDisk(磁碟清除惡意軟體)等。趨勢科技追查與此事件相關的其他感染或惡意軟體。我們很快就發現Prykarpattya Oblenergo和Kyivoblenergo並非此最新BlackEnergy攻擊活動的唯一目標。
根據公開來源情報(OSINT)和趨勢科技主動式雲端截毒服務 Smart Protection Network所取得的資料,我們發現BlackEnergy和KillDisk可能也被用來攻擊烏克蘭一家大型礦業公司及一家大型鐵路公司。此外,礦業和鐵路公司所感染的惡意軟體可能與兩起電力設施攻擊中所用的BlackEnergy和KillDisk使用相同的基礎設施。
大型烏克蘭礦業公司的相關惡意軟體
在趨勢科技的調查過程中,我們看到攻擊烏克蘭電力設施的BlackEnergy樣本也被用來攻擊烏克蘭礦業公司。惡意軟體amdide.sys(SHA1值:2D805BCA41AA0EB1FC7EC3BD944EFD7DBA686AE1)似乎在2015年11月就被用來感染其目標。其他被用來攻擊烏克蘭電力設施及礦業公司的樣本有: 繼續閱讀