Black Energy被曝再攻击乌克兰矿业和铁路系统

趋势科技公司的安全专家发现，BlackEnergy恶意软件的变种参与了较近攻击乌克兰矿业和铁路系统的活动。

2015年12月乌克兰停电事件发生后，BlackEnergy备受关注。BlackEnergy木马软件主要是攻击数据采集与监控系统（SCADA）的安全。其较新变种KillDisk组件可以擦除硬盘内容、让系统无法工作。乌克兰政府指控俄罗斯参与了导致停电事件的攻击，不过进一步的分析表明，BlackEnergy恶意软件并不直接对停电事件负责。

近日趋势科技公司宣布，其在乌克兰一家矿业公司和铁路运营商的系统上发现了BlackEnergy和KillDisk样本。

安全专家注意到，这家矿业公司的系统还感染了KillDisk的多个变种。这些样本与感染乌克兰电力公司的KillDisk组件具有同样的作用。

安全研究人员认为，幕后的攻击者与当初攻击乌克兰电力公司系同一伙人。研究人员注意到样本、命名约定、控制基础设施和攻击时机等方面存在着许多相似之处。

趋势科技发现数个样本变种，与当初感染乌克兰电力公司的BlackEnergy类似，这个恶意软件使用同样的指挥和控制（C&C)）服务器。

趋势科技在其发布的一篇博文声称：“与针对乌克兰矿业公司发动的攻击一样，我们还目睹KillDisk可能被用来攻击隶属乌克兰全国铁路系统的一家大型乌克兰铁路公司。文件tsk.exe（SHA1: f3e41eb94c4d72a98cd743bbb02d248f510ad925）被标为是KillDisk，既用于攻击这家铁路公司，又用于攻击电力公司的活动。这似乎是乌克兰电力公司感染造成的余波。然而，我们没有证据表明BlackEnergy出现在铁路系统上，只能说它可能出现在网络的某个地方。”

  class="fancybox_content" href="/uploads/images/2016/125/litahp31qrqHE.png?rand=33"

专家们对这起攻击的几种原因进行了阐释；较合理的一种说法是具有政治动机的持续攻击者采取的攻势。旨在攻击乌克兰关键基础设施，破坏该国稳定性。

Wilhoit说：“一种可能是，攻击者可能想通过持续地破坏电力、矿业和交通运输等设施，破坏乌克兰的稳定性。另一种可能是，他们将恶意软件植入到不同的关键基础设施系统，确定哪一种基础设施系统较容易被渗透，因而获得控制权。一种相关的说法是，矿业和铁路公司的感染可能只是初步的感染，攻击者只是在企图测试代码库。”

无论是哪种情况，针对关键基础设施的网络攻击都会给任何国家政府构成严重威胁。

据悉，为应对BlackEnergy木马的危害，360企业安全在2015年底已经开发出了BlackEnergy木马扫描工具，现在正在定向给国内用户提供免费扫描服务。