趋势科技说,乌克兰网络攻击超越电力公司
2015年12月,乌克兰两次电力供应商的网络攻击并非孤立,但研究人员表示,对乌克兰工业网络的多阶段有针对性攻击的一部分。
根据TheSans Institute的工业控制系统(IC)Teamof Teamof Teamof The The Shore Institute,攻击是直接负责停电的网络攻击的第一个已知例子。
网络攻击的一个关键元素是Clackenergy Trojanused来部署破坏性磁盘擦拭组件,称为“killdisk”。
乌克兰的伊万诺 - 弗兰克(Frankivsk地区)的一半房屋陷入了几个小时的黑暗;但安全公司趋势科技的研究人员还发现,一个主要的矿业公司和大型铁路运营商 - 国家铁路系统的一部分 - 也是针对性的。
根据趋势科技的高级威胁研究员,据Kyle Wilhoit称,这些攻击似乎旨在在政治动机罢工中在政治动机罢工中瘫痪。
在狩猎有关与电力公司的攻击相关的额外感染或恶意软件样本,威尔霍伊特和他的同事发现了可能已经针对采矿和铁路公司使用的Blackenergy和Killdisk的样本。
“采矿和铁路组织的可能感染似乎使用了两个电力设施攻击中看到的一些相同的Blackenergy和Killdisk基础设施,”Wilhoit在博客文章中写道。
他说,来自矿业公司的一个样本,似乎已于2015年11月使用,以感染其目标,而另一个样本具有完全相同的功能,并使用与乌克兰电力公用事业攻击中的样本相同的通信基础架构。
在铁路公司的情况下,研究人员发现针对对电力公司和矿业公司使用的同一个杀戮地区恶意软件的迹象。
“这似乎是乌克兰电力公用事业感染的唯一溢出。然而,我们没有证据表明Blackenergy存在于铁路系统上,可以假设它可能存在于网络中的某个地方,“威尔霍伊特说。
研究人员认为,由于使用的恶意软件,基础设施,命名约定和攻击时机之间的重叠,相同的演员对所有四次攻击负责。
“这证明了Blackenergy已经发展成为一个能源部门问题,即威胁所有部门 - Publicandandate的组织 - 应该意识到并准备捍卫自己,”威尔霍伊特说。
研究人员认为,这种袭击可能希望通过涉及权力,采矿和运输设施的大量或持续的中断来破坏乌克兰。
Wilhoit说,另一种可能性是,他们已经将恶意软件部署到不同的关键基础设施系统,以确定Whic-是最容易渗透,随后搏斗控制。
相关理论是,采矿和火车公司的感染可能刚刚初步感染,攻击者只是试图测试代码基础。
“无论如何,这种情况都应该对工业控制系统(IC)的攻击,应因为耐火性的真实影响而受到极度严重的对待,”威尔霍伊特说。
潮流科技趋势科技署副总裁Ed Cabrera表示,这些攻击的协调和复杂性建议禁用乌克兰的关键基础设施供应链的“威胁模式”。
“通过渗透公共和私营部门,这些破坏性努力远远超出最初检测到的东西,”他说。
据Cabrera,政府和私人拥有的关键基础设施组织,无论大小如何,除了供应链合作伙伴的情况外,还需要正确评估他们面临的破坏性恶意软件威胁和漏洞。
“高度网络化的依赖基础设施的保护需要高度网络化的整体防御,”他说,并补充说,这些攻击重申了关键基础设施攻击的真实影响,以及无论性质或大小如何采取网络安全措施工业控制系统。