俄罗斯黑客试图用Industroyer2恶意软件攻击乌克兰电网

乌克兰计算机应急响应小组（CERT-UA）周二透露，他们挫败了隶属于俄罗斯军事情报部门的黑客组织Sandworm的网络攻击，该攻击旨在破坏该国一家无名能源供应商的运营。

乌克兰国家特殊通信和信息保护局（SSSCIP）在一份声明中表示：“攻击者试图摧毁其目标的几个基础设施组件，即变电站、Windows操作的计算系统、Linux操作的服务器设备，[和]主动网络设备。”。

斯洛伐克网络安全公司ESET与CERT-UA合作分析了此次攻击，该公司表示，此次入侵企图涉及使用具有ICS功能的恶意软件和常规磁盘擦除器，对手释放了Industroyer恶意软件的更新版本，该软件首次部署在2016年对乌克兰电网的网络安全攻击中。

ESET解释说：“沙虫攻击者试图对乌克兰的高压变电站部署Industroyer2恶意软件。”。“除了Industroyer2，Sandworm还使用了几个破坏性的恶意软件系列，包括CaddyWiper、OrcShred、SoloShred和AwfulShred。”

据信，受害者的电网分两波渗透，最初的妥协不迟于2022年2月发生，恰逢俄罗斯入侵乌克兰，随后在4月渗透，使攻击者得以上传Industroyer2。

Industroyer也被称为“Crasshoverride”，被称为“自Stuxnet以来对工业控制系统的最大威胁”，它是模块化的，能够直接控制配电变电站的开关和断路器。

这种复杂且高度可定制的恶意软件的新版本与其前身一样，利用一种称为IEC-104的工业通信协议来控制变电站中使用的保护继电器等工业设备。

对Industroyer2遗留下来的文物进行的法医学分析显示，其汇编时间戳为2022年3月23日，表明此次袭击计划至少持续了两周。尽管如此，目前仍不清楚目标电力设施最初是如何受损的，也不清楚入侵者是如何从it网络转移到工业控制系统（ICS）网络的。

ESET表示，针对该公司基础设施的破坏性行动原定于2022年4月8日进行，但最终被挫败。设置之后，10分钟后在同一台机器上执行名为CaddyWiper的数据雨刷器，以清除Industroyer2恶意软件的痕迹。

除了Industroyer2和CaddyWiper之外，目标能源供应商的网络据说也感染了一种名为OrcShred的Linux蠕虫，然后该蠕虫被用来传播针对Linux和Solaris系统的两种不同的wiper恶意软件—；AwfulShred和SoloShred—；使机器无法运行。

上周，法庭授权击落了由沙虫威胁演员控制的高级模块化僵尸网络Cyclops Blink，紧接着这一发现。

CERT-UA还警告称，另一家与联邦安全局（FSB）有联系的俄罗斯组织“末日”（Armageddon）发起了一系列矛式网络钓鱼活动，该组织至少自2013年以来一直攻击乌克兰实体。

ESET表示：“乌克兰再次成为针对其关键基础设施的网络攻击的中心。”。“这场新的Industroyer运动紧随着针对乌克兰不同行业的多波雨刷。”