Sandworm团队,在历史上曾多次对乌克兰的政府机构发起过攻击,而且他们也非常热衷于攻击工业自动化控制系统。
在上周,iSIGHT Partners公司曾为我们全球范围内的客户提供了有关此次乌克兰停电事件的相关细节。我们已经从相关设备中提取了有关此次网络间谍活动的数据,并对取证信息进行了分析和检测。目前,我们还无法得到有关此次事件的具体细节信息,但是鉴于此次事件的恶意性质,尤其是在此次事件中黑客还使用了破坏性恶意软件,我们其实并不希望有太多的详细信息被曝光出来。
但是,在我们仔细的分析和研究之后,我们将此次事件与Sandworm团队联系了起来,主要是因为此次事件中的攻击者使用了BlackEnergy 3,而这款恶意软件已经成为了这个黑客团伙的代名词。
iSIGHT Partners已经对Sandworm团队的活动进行了追踪并观察了一段时间,我们还曾公开报道了他们在2014年10月份的一些黑客行动,当时我们发现他们曾利用过一个0 day漏洞-CVE-2014-4114。在当时的黑客行动中,我们发现他们的攻击目标是乌克兰的政府官员,以及欧盟和北约组织的成员。就在他们将间谍行动所获取到的信息公布出来之后,趋势科技公司的研究人员发现,这些攻击者不仅进行了常规的网络间谍攻击,而且还针对工业自动化控制系统进行了攻击,而且这一发现已经得到了确认。目前,我们已经收集了大量相关的证据,iSIGHT Partners公司随后也发表了一篇博文,并认为这些间谍活动是在为之后的网络攻击进行踩点和侦查。ICS-CERT同样也发表了一份有关此次事件的公告。
Sandworm团伙的活动-从2014年至今
在2014年10月份被曝光之后,Sandworm团队便销声匿迹了。然而,在2015年初,像BlackEnergy 3这样特点鲜明的恶意软件变种却再度出现在了乌克兰,而我们当初就是在乌克兰发现了Sandworm团队的活动踪迹。在过去的一年中(2015年),我们发现使用了BlackEnergy 3的入侵活动数量明显呈现出了上升趋势。我们发现这种恶意软件新增了许多功能,我们也警告了我们的客户,在分析之后,我们还认为攻击者可能会对欧洲的相关组织和机构产生浓厚的兴趣。但是,当时我们无法确定攻击者具体的攻击目标。除此之外我们还警告客户,在这一系列的网络攻击之后,乌克兰地区的媒体机构和地区电力部门很有可能都会遭受到网络攻击。ESET公司的研究人员同样也对Sandworm团队进行了长时间的追踪和观察,而且他们也发布了类似的警告信息。
针对乌克兰发电站的攻击事件
上周,iSIGHT公司向我们提供了一份相同的KillDisk恶意软件代码。今年十月份,乌克兰的相关政府部门在乌克兰大选期间曾遭受过黑客的攻击,而我们在进行了相应的分析和研究之后,我们认为这个KillDisk恶意软件与当时黑客所使用的破坏性恶意软件之间有着某种联系。当时,CERT-UA认为该事件与BlackEnergy 3有关。赛门铁克公司已经证实了这些观点。除此之外,iSIGHT公司的研究人员在对证据进行了分析之后认为,在受到了KillDisk感染的乌克兰电力系统之中,至少有一个地区的电力系统受到了BlackEnergy 3恶意软件的攻击。
乌克兰国家安全局在其官方网站中发表了一份声明,并表示:目前,iSIGHT Partners公司仍在收集有关此次停电事件的相关证据信息,并且该公司的研究人员也在努力尝试分析出KillDisk恶意软件在此次事件中扮演的到底是怎样的一个角色。我们现在并不能确认此次的停电事件是否是由KillDisk恶意软件所导致。但是据我们所知,攻击者曾利用过这款恶意软件对电力部门的相关设备进行了操作,也许是为了使恢复工作变得更加困难,也有可能是为了防治电力部门的工作人员发现他们的攻击行为。值得注意的是,当时攻击者还对电力部门的技术支持电话进行了“洪泛攻击”,导致发电站的整个技术支持部门完全处于瘫痪状态。
展望
尽管这种类型的网络攻击是可以预测到的,但它仍然是一种里程碑式的事件。在此之前,Sandworm团队就曾对欧洲和美国的关键系统进行过攻击,这不但暴露出了该团队的攻击性,而且也表明他们对关键系统以及基础设施非常感兴趣。除此之外,在2015年的战争期间,他们还对乌克兰境内的关键设施进行了攻击,这也进一步揭示了他们破坏基础设施的渴望。