進擊的BlackEnergy烏礦業鐵路系統遭侵害

自去年年底烏克蘭電力系統被黑事件曝出後，BlackEnergy惡意軟體再次受到了廣泛關注。近日，安全研究人員更發現BlackEnergy惡意軟體的變種參與到攻擊烏克蘭礦業和鐵路系統的活動中。

　　烏克蘭的礦業和鐵路系統遭受BlackEnergy惡意軟體變種的攻擊

據悉，BlackEnergy木馬軟體主要是攻擊資料採集與監控系統（SCADA）的安全，其最新變種KillDisk元件可以擦除硬碟內容，讓系統無法工作。此前，烏克蘭政府指控俄羅斯參與了導致停電事件的攻擊，雖然在進一步分析後發現BlackEnergy惡意軟體並不直接對停電事件負責，不過也在電力系統中發現了該木馬的變種樣本。

　　烏克蘭電力系統中發現了該BlackEnergy木馬的變種樣本

同時，來自BlackEnergy的威脅並未消除，網路安全廠商在近期的調查中發現烏克蘭的一家礦業公司和鐵路運營商的系統上均出現了BlackEnergy和KillDisk的樣本。其中，該礦業公司的系統中感染了KillDisk的多個變種，而這些樣本與此前在烏克蘭電力公司系統中發現的KillDisk元件具有同樣的作用。

由於這些樣本在命名約定、控制基礎設施和攻擊時機等方面存在著許多相似之處，因此安全研究人員認為，幕後的攻擊者與當初攻擊烏克蘭電力公司很可能是同一夥人。此外，研究人員還注意到數個樣本變種，與當初感染烏克蘭電力公司的BlackEnergy類似，這些惡意軟體使用同樣的指揮和控制（C&C）伺服器。

該安全研究團隊在近期釋出的一篇博文聲稱：“與針對烏克蘭礦業公司發動的攻擊一樣，我們還目睹KillDisk可能被用來攻擊隸屬烏克蘭全國鐵路系統的一家大型烏克蘭鐵路公司。檔案tsk.exe（SHA1：

f3e41eb94c4d72a98cd743bbb02d248f510ad925）被標為是KillDisk，既用於攻擊這家鐵路公司，又用於攻擊電力公司的活動。這似乎是烏克蘭電力公司感染造成的唯一餘波。然而，我們沒有證據表明BlackEnergy出現在鐵路系統上，只能說它可能出現在網路的某個地方。”

專家們對這起攻擊的幾種原因進行了闡釋；最合理的一種說法是具有政治動機的持續攻擊者採取的攻勢。旨在攻擊烏克蘭關鍵基礎設施，破壞該國穩定性。

該安全研究團隊負責人Kyle
Wilhoit表示，“一種可能是，攻擊者可能想通過持續地破壞電力、礦業和交通運輸等設施，破壞烏克蘭的穩定性。另一種可能是，他們將惡意軟體植入到不同的關鍵基礎設施系統，確定哪一種基礎設施系統最容易被滲透，因而獲得控制權。一種相關的說法是，礦業和鐵路公司的感染可能只是初步的感染，攻擊者只是在企圖測試程式碼庫。”

然而無論是哪種情況，針對關鍵基礎設施的網路攻擊都會給任何國家政府構成嚴重威脅。不過，為了應對BlackEnergy木馬的危害，如360企業安全便在2015年底開發出了BlackEnergy木馬掃描工具，並開始定向為國內使用者提供免費掃描服務。

因此，為了不讓烏克蘭的攻擊事件在我國上演，各行業急需將網路安全防護提到日程上來，從企業內外網路環境入手，提升網路安全意識，並加強對惡意流量進行檢測、實施阻斷，形成針對性的防護能力等有效措施，以保障企業網路系統的安全執行。

本文轉自d1net（轉載）