Sandworm團隊，在歷史上曾多次對烏克蘭的政府機構發(fā)起過攻擊，而且他們也非常熱衷于攻擊工業(yè)自動化控制系統(tǒng)。

[[161698]]

在上周，iSIGHT Partners公司曾為我們?nèi)蚍秶鷥?nèi)的客戶提供了有關此次烏克蘭停電事件的相關細節(jié)。我們已經(jīng)從相關設備中提取了有關此次網(wǎng)絡間諜活動的數(shù)據(jù)，并對取證信息進行了分析和檢測。目前，我們還無法得到有關此次事件的具體細節(jié)信息，但是鑒于此次事件的惡意性質，尤其是在此次事件中黑客還使用了破壞性惡意軟件，我們其實并不希望有太多的詳細信息被曝光出來。

但是，在我們仔細的分析和研究之后，我們將此次事件與Sandworm團隊聯(lián)系了起來，主要是因為此次事件中的攻擊者使用了BlackEnergy 3，而這款惡意軟件已經(jīng)成為了這個黑客團伙的代名詞。

iSIGHT Partners已經(jīng)對Sandworm團隊的活動進行了追蹤并觀察了一段時間，我們還曾公開報道了他們在2014年10月份的一些黑客行動，當時我們發(fā)現(xiàn)他們曾利用過一個0 day漏洞-CVE-2014-4114。在當時的黑客行動中，我們發(fā)現(xiàn)他們的攻擊目標是烏克蘭的政府官員，以及歐盟和北約組織的成員。就在他們將間諜行動所獲取到的信息公布出來之后，趨勢科技公司的研究人員發(fā)現(xiàn)，這些攻擊者不僅進行了常規(guī)的網(wǎng)絡間諜攻擊，而且還針對工業(yè)自動化控制系統(tǒng)進行了攻擊，而且這一發(fā)現(xiàn)已經(jīng)得到了確認。目前，我們已經(jīng)收集了大量相關的證據(jù)，iSIGHT Partners公司隨后也發(fā)表了一篇博文，并認為這些間諜活動是在為之后的網(wǎng)絡攻擊進行踩點和偵查。ICS-CERT同樣也發(fā)表了一份有關此次事件的公告。

Sandworm團伙的活動-從2014年至今

在2014年10月份被曝光之后，Sandworm團隊便銷聲匿跡了。然而，在2015年初，像BlackEnergy 3這樣特點鮮明的惡意軟件變種卻再度出現(xiàn)在了烏克蘭，而我們當初就是在烏克蘭發(fā)現(xiàn)了Sandworm團隊的活動蹤跡。在過去的一年中(2015年)，我們發(fā)現(xiàn)使用了BlackEnergy 3的入侵活動數(shù)量明顯呈現(xiàn)出了上升趨勢。我們發(fā)現(xiàn)這種惡意軟件新增了許多功能，我們也警告了我們的客戶，在分析之后，我們還認為攻擊者可能會對歐洲的相關組織和機構產(chǎn)生濃厚的興趣。但是，當時我們無法確定攻擊者具體的攻擊目標。除此之外我們還警告客戶，在這一系列的網(wǎng)絡攻擊之后，烏克蘭地區(qū)的媒體機構和地區(qū)電力部門很有可能都會遭受到網(wǎng)絡攻擊。ESET公司的研究人員同樣也對Sandworm團隊進行了長時間的追蹤和觀察，而且他們也發(fā)布了類似的警告信息。

針對烏克蘭發(fā)電站的攻擊事件

上周，iSIGHT公司向我們提供了一份相同的KillDisk惡意軟件代碼。今年十月份，烏克蘭的相關政府部門在烏克蘭大選期間曾遭受過黑客的攻擊，而我們在進行了相應的分析和研究之后，我們認為這個KillDisk惡意軟件與當時黑客所使用的破壞性惡意軟件之間有著某種聯(lián)系。當時，CERT-UA認為該事件與BlackEnergy 3有關。賽門鐵克公司已經(jīng)證實了這些觀點。除此之外，iSIGHT公司的研究人員在對證據(jù)進行了分析之后認為，在受到了KillDisk感染的烏克蘭電力系統(tǒng)之中，至少有一個地區(qū)的電力系統(tǒng)受到了BlackEnergy 3惡意軟件的攻擊。

烏克蘭國家安全局在其官方網(wǎng)站中發(fā)表了一份聲明，并表示：目前，iSIGHT Partners公司仍在收集有關此次停電事件的相關證據(jù)信息，并且該公司的研究人員也在努力嘗試分析出KillDisk惡意軟件在此次事件中扮演的到底是怎樣的一個角色。我們現(xiàn)在并不能確認此次的停電事件是否是由KillDisk惡意軟件所導致。但是據(jù)我們所知，攻擊者曾利用過這款惡意軟件對電力部門的相關設備進行了操作，也許是為了使恢復工作變得更加困難，也有可能是為了防治電力部門的工作人員發(fā)現(xiàn)他們的攻擊行為。值得注意的是，當時攻擊者還對電力部門的技術支持電話進行了“洪泛攻擊”，導致發(fā)電站的整個技術支持部門完全處于癱瘓狀態(tài)。

展望

盡管這種類型的網(wǎng)絡攻擊是可以預測到的，但它仍然是一種里程碑式的事件。在此之前，Sandworm團隊就曾對歐洲和美國的關鍵系統(tǒng)進行過攻擊，這不但暴露出了該團隊的攻擊性，而且也表明他們對關鍵系統(tǒng)以及基礎設施非常感興趣。除此之外，在2015年的戰(zhàn)爭期間，他們還對烏克蘭境內(nèi)的關鍵設施進行了攻擊，這也進一步揭示了他們破壞基礎設施的渴望。