新闻快讯
< >

NotPetya背后的黑客组织神秘,或与乌克兰电网攻击有关

E安全7月4日讯 上周五,三家网络安全公司发布报告或声明称,NotPetya勒索攻击的罪魁祸首可能与过去发生的大量网络攻击有关,例如2015年12月乌克兰电网遭受的网络攻击

NotPetya背后的黑客组织神秘,或与乌克兰电网攻击有关-E安全

这群黑客组织自2007年开始活跃。研究人员追踪发现该组织曾被命名为不同的名称,例如Sandworm(沙虫)、BlackEnergy(暗黑力量)、TeleBots、Electrum、TEMP.Noble和Quedagh。

“该”黑客组织历史悠久

该组织以两大事件而“闻名”:

  • 攻击工业基础设施;

  • 最近对乌克兰发起的大肆攻击。

2014年,这支黑客组织因使用Windows 0Day漏洞(CVE-2014-4114)攻击北约和政府组织机构而声名狼藉。

该组织通常通过BlackEnergy恶意软件(自2007年部署的v1、v2和v3)攻击数据采集与监控系统(SCADA)网络。

虽然该组织最初的目标遍及全球,而在2014年,该组织开始将主要目标聚焦在乌克兰目标上,即俄罗斯占领克里米亚半岛后不久。

这支黑客组织发起的攻击中,最臭名昭著的要数2015年圣诞节乌克兰电网遭遇的黑客攻击事件。这起攻击引起了多方媒体关注,此后该组织一波儿接着一波儿地攻击乌克兰的机场、传媒机构、银行、铁路和矿业公司。

BlackEnergy恶意软件还被用来瞄准工业目标,而在攻击其它组织机构时,该组织主要依赖社交工程、网络鱼叉式钓鱼和宏恶意软件攻击

曾开发KillDisk清除器(假勒索软件)

该组织还开发一款与众不同的恶意软件“KillDisk”。这款恶意软件旨在破坏被感染的计算机,企图实施工业破坏或掩盖网络攻击的踪迹。这支黑客组织长期使用这款工具发起攻击,去年冬天,KillDisk攻击变本加厉。据报道,2016年12月,研究人员报告称发现KillDisk新版本(包含勒索软件组件)。

KillDisk勒索软件组件的初始版本粗糙,甚至不会索要赎金,仅显示电视剧《黑客军团》中的图像。

NotPetya背后的黑客组织神秘,或与乌克兰电网攻击有关-E安全

此后,该组织更新了KillDisk勒索软件组件,添加了勒索信,并要求受害者支付大量赎金(222比特币,当时约21.5万美元)。索要如此大笔赎金的做法表明,该组织感兴趣的不是金钱,或指望受害者支付赎金,就跟NotPetya一样,醉翁之意不在酒。

再后来,攻击者将KillDisk恶意软件移植到Linux。在大多数这些KillDisk攻击中,勒索软件组件被部署用来攻击乌克兰银行和海运公司,该组织持续将目标集中在乌克兰的目标上。

NotPetya、XData、BlackEnergy和Sandworm存在关联

ESET研究人员安东切列帕诺夫周五发布报告表示,ESET发现表明,该组织利用几款定制勒索软件家族攻击乌克兰目标。

TeleBots/BlackEnergy/Sandworm行动与三大勒索软件攻击【Win32/Filecoder.NKH(2017年3月)、XData(2017年5月)以及NotPetya(2017年6月)】共享基础设施和TTPS(战术、技术和程序)。

切列帕诺夫指出,所有这三起勒索软件攻击专门针对乌克兰目标,与该组织过去的目标一致,似乎要实施更大型的活动,以破坏乌克兰的商业部门。

卡巴斯基实验室周五发布了一份类似的报告,也认为TeleBots/BlackEnergy/Sandworm过去的攻击与NotPetya勒索软件之间存在关联,但卡巴斯基实验室称这不能算作确切的证据。

该组织与俄罗斯有关?

过去,多家网络安全公司认为,TeleBots/BlackEnergy/Sandworm与俄罗斯网络间谍行动有关。

然而,在NotPetya 攻击中,ESET或卡巴斯基并未公开表态指责俄罗斯,只是将其与一个知名APT组织相关联。

FireEye全球网络情报行动负责人约翰沃特斯在《金融时报》一篇文章中表示,他“有理由相信”,俄罗斯就是NotPetya勒索攻击的幕后黑手。
乌克兰官员已经公开指责NotPetya事件是俄罗斯安全机构所为。北约并未指明是俄罗斯,但表示,这些攻击是国家攻击者所为。从目前的政治格局来看,指责俄罗斯不足为奇。

证据不足

指责归指责,但却没有确凿的证据支撑这种推断。卡巴斯基GReAT团队的首席安全专家亚力克斯戈斯捷夫7月1日在Twitter上发表了另一种看法:

2015年乌克兰大规模停电事件后,BE3背后的黑客组织被解雇,从而利用旧工具和MO将目标瞄向金融行业。

NotPetya背后的黑客组织神秘,或与乌克兰电网攻击有关-E安全

该组织和NotPetya行动也许与俄罗斯过去实施的黑客攻击有关,但这并不意味着这支组织按俄罗斯官员的指示行事。

此外,这条推文包含其它论断,显示了NotPetya攻击归因的各种潜在场景。

尽管ESET和卡巴斯基发现了一些蛛丝马迹,但需要更确凿的证据才能证明相关猜测。

越来越多的网络攻击瞄准关键基础设施

本文提到,此次乌克兰遭到的NotPetya勒索软件攻击可能与2015年12月乌克兰电网遭受的网络攻击有关,涉及此事的黑客组织曾开发KillDisk清除器(假勒索软件)以攻击工业基础设施,而近期的勒索软件攻击,让乌克兰国家银行、电力公司受到较为严重的影响,乌克兰自2015年以来,电力基础设施每年都在不断“迎接”黑客组织的挑战。

研究人员最近发现,NotPetya勒索软件并不是来勒索的,它只是打着“勒索”的幌子在清除数据搞破坏!上周,NotPetya攻击了美国第二大制药公司及其医疗保健系统。5月出现的WannaCry勒索病毒被研究人员发现能够对基础设施展开攻击,这款软件能被设计用来攻击并操作工业设施,例如制造工厂、水电公共设施和关键基础设施的工业控制器。

未来,关键信息基础设施的保护将是网络安全保护的重中之重。

关键基础设施的范围

关键信息基础设施是指面向公众提供的网络信息服务或支撑能源、交通、水利、金融、公共服务、电子政务公用事业等重要行业和领域以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。匡恩网络将关键信息基础设施分为公众服务、民生服务及基础生产,具体包括如下:

  • 公众服务:如党政机关网站、企事业单位网站、新闻网站等;

  • 民生服务:包括金融、电子政务、公共服务等;

  • 基础生产:能源、水利、交通、数据中心、电视广播等。

相关阅读:

乌克兰电网遭遇黑客攻击:九个有待解答的问题
乌克兰电网再次中断 或又是黑客所为
乌克兰电网事件和美国大选恶意软件同源性分析

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。