进击的BlackEnergy 乌矿业铁路系统遭侵害

    发布时间:2016-02-17 15:10:31
    作者:
    来源:中关村在线

    自去年年底乌克兰电力系统被黑事件曝出后,BlackEnergy恶意软件再次受到了广泛关注。近日,安全研究人员更发现BlackEnergy恶意软件的变种参与到攻击乌克兰矿业和铁路系统的活动中。


    进击的BlackEnergy 乌矿业铁路系统遭侵害
    乌克兰的矿业和铁路系统遭受BlackEnergy恶意软件变种的攻击

    据悉,BlackEnergy木马软件主要是攻击数据采集与监控系统(SCADA)的安全,其最新变种KillDisk组件可以擦除硬盘内容,让系统无法工作。此前,乌克兰政府指控俄罗斯参与了导致停电事件的攻击,虽然在进一步分析后发现BlackEnergy恶意软件并不直接对停电事件负责,不过也在电力系统中发现了该木马的变种样本。

    进击的BlackEnergy 乌矿业铁路系统遭侵害
    乌克兰电力系统中发现了该BlackEnergy木马的变种样本

    同时,来自BlackEnergy的威胁并未消除,网络安全厂商在近期的调查中发现乌克兰的一家矿业公司和铁路运营商的系统上均出现了BlackEnergy和KillDisk的样本。其中,该矿业公司的系统中感染了KillDisk的多个变种,而这些样本与此前在乌克兰电力公司系统中发现的KillDisk组件具有同样的作用。

    由于这些样本在命名约定、控制基础设施和攻击时机等方面存在着许多相似之处,因此安全研究人员认为,幕后的攻击者与当初攻击乌克兰电力公司很可能是同一伙人。此外,研究人员还注意到数个样本变种,与当初感染乌克兰电力公司的BlackEnergy类似,这些恶意软件使用同样的指挥和控制(C&C)服务器。

    该安全研究团队在近期发布的一篇博文声称:“与针对乌克兰矿业公司发动的攻击一样,我们还目睹KillDisk可能被用来攻击隶属乌克兰全国铁路系统的一家大型乌克兰铁路公司。文件tsk.exe(SHA1: f3e41eb94c4d72a98cd743bbb02d248f510ad925)被标为是KillDisk,既用于攻击这家铁路公司,又用于攻击电力公司的活动。这似乎是乌克兰电力公司感染造成的唯一余波。然而,我们没有证据表明BlackEnergy出现在铁路系统上,只能说它可能出现在网络的某个地方。”

    专家们对这起攻击的几种原因进行了阐释;最合理的一种说法是具有政治动机的持续攻击者采取的攻势。旨在攻击乌克兰关键基础设施,破坏该国稳定性。


    该安全研究团队负责人Kyle Wilhoit表示,“一种可能是,攻击者可能想通过持续地破坏电力、矿业和交通运输等设施,破坏乌克兰的稳定性。另一种可能是,他们将恶意软件植入到不同的关键基础设施系统,确定哪一种基础设施系统最容易被渗透,因而获得控制权。一种相关的说法是,矿业和铁路公司的感染可能只是初步的感染,攻击者只是在企图测试代码库。”

    然而无论是哪种情况,针对关键基础设施的网络攻击都会给任何国家政府构成严重威胁。不过,为了应对BlackEnergy木马的危害,如360企业安全便在2015年底开发出了BlackEnergy木马扫描工具,并开始定向为国内用户提供免费扫描服务。

    因此,为了不让乌克兰的攻击事件在我国上演,各行业急需将网络安全防护提到日程上来,从企业内外网络环境入手,提升网络安全意识,并加强对恶意流量进行检测、实施阻断,形成针对性的防护能力等有效措施,以保障企业网络系统的安全运行。


    分享至: