尽管存在这种独特的差异,但蠕虫的更广泛目标似乎不是电力设施或能源行业。相反,过去三年,俄罗斯一直在时间攻击乌克兰。自2014年俄罗斯入侵克里米亚以来,乌克兰一直与俄罗斯处于战争状态。除了这两次断电袭击,该组织自2015年以来几乎蹂躏了乌克兰社会的每个行业,摧毁了媒体公司的数百台电脑,删除或永久加密了乌克兰政府机构的TB级数据,使包括乌克兰铁路售票系统在内的基础设施陷入瘫痪。
FireEye和ESET等安全公司的网络安全研究人员也指出,最近使乌克兰和全球数千个网络瘫痪的勒索病毒疫情也符合蠕虫用没有解密选项的假勒索病毒感染受害者的历史。
但是在这一片混乱中,沙虫仍然对电网表现出特殊的兴趣。FireEye将该组织与2014年发现的一系列入侵美国能源设施的行为联系起来。这些入侵中使用的黑色能源()恶意软件与随后乌克兰停电袭击中沙虫使用的相同。
此外,FireEye还根据在该组织的一个C2服务器上发现的俄罗斯文件、该组织使用的俄罗斯黑客大会上显示的零日漏洞及其非常明确的乌克兰攻击点,推断该蠕虫与俄罗斯政府有关。
上个月,安全公司ESET和发布了一份关于恶意软件的分析报告,他们称之为崩溃覆盖()或工业破坏者()。这是一个高度复杂的,适应性和自动化的破坏电网的代码。它是沙虫在2016年攻击乌克兰国家能源公司下属的一个传输站时使用的恶意软件,导致其停电。
三。手掌融合()
美国能源公用事业公司最近入侵企图背后的黑客组织远比能源熊或沙虫更神秘。该组织自2015年以来一直在用水坑和钓鱼攻击来攻击能源公用事业。除了最近报道的美国能源公司,它的目标远至爱尔兰和土耳其。然而,尽管与能源熊有许多相似之处,但网络安全分析师无法明确地将该组织与俄罗斯电网中其他已知的黑客组织联系起来。
尤其是沙虫,似乎是最不可能匹配的。火眼分析师霍特奎斯特(Hotquist)指出,他的研究人员多年来一直在追踪该蠕虫和新组织,但他们从未在行动中看到任何共同的技术或基础设施。003010报道美国官员认为Palm Fusion是俄罗斯联邦安全局的一次行动。一些研究人员认为,该蠕虫在俄罗斯联邦军队总参谋部情报总局(GRU)的支持下工作,因为其目标集中在俄罗斯的军事敌人乌克兰,其早期目标是北约和军事机构。
掌融合和能量熊的手印并不完全重合,虽然《华盛顿邮报》的报道只是把它们联系在了一起。虽然两者都是针对能源行业,使用钓鱼和水坑攻击,但情报副总裁迈耶表示,在具体的工具或技术上没有巧合,这表明Palm Fusion可能是另一个组织的工作。思科的研究团队发现,新团队利用网络钓鱼和微软服务器消息块(SMB)协议漏洞来收获受害者的证书。这项技术在能量熊的行动中从未出现过。
然而,能量熊在2014年末被发现后突然消失,2015年与palm合并的最初攻击,以及在时间节点的连接仍然令人怀疑。时间线可能表明这两个组织实际上是相同的,但是新的工具和技术被重新编译以避免明显的联系。
毕竟像Energy Bear这种系统性和生产性都很强的黑客组织,在被曝光后是不会简单的洗手不干的。安全公司SecureWorks也密切跟踪Energy Bear,其安全研究员汤姆范尼(Tom Fanny)表示:国家情报机构不会因为这么小的挫折就放弃。我们推测他们会在时间的某个时候回来,也许就是这里。
本文链接:http://www.slxf119.com/17212.html 转载需授权!
网友评论