NotPetya背后的黑客组织神秘 或与乌克兰电网攻击有关

查看原文

其他

NotPetya背后的黑客组织神秘或与乌克兰电网攻击有关

Original 2017-07-04 E安全 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com

E安全7月4日讯上周五，三家网络安全公司发布报告或声明称，NotPetya勒索攻击的罪魁祸首可能与过去发生的大量网络攻击有关，例如2015年12月乌克兰电网遭受的网络攻击。

这群黑客组织自2007年开始活跃。研究人员追踪发现该组织曾被命名为不同的名称，例如Sandworm（沙虫）、BlackEnergy（暗黑力量）、TeleBots、Electrum、TEMP.Noble和Quedagh。

“该”黑客组织历史悠久

该组织以两大事件而“闻名”：

攻击工业基础设施；
最近对乌克兰发起的大肆攻击。

2014年，这支黑客组织因使用Windows 0Day漏洞（CVE-2014-4114）攻击北约和政府组织机构而声名狼藉。

该组织通常通过BlackEnergy恶意软件（自2007年部署的v1、v2和v3）攻击数据采集与监控系统（SCADA）网络。

虽然该组织最初的目标遍及全球，而在2014年，该组织开始将主要目标聚焦在乌克兰目标上，即俄罗斯占领克里米亚半岛后不久。

这支黑客组织发起的攻击中，最臭名昭著的要数2015年圣诞节乌克兰电网遭遇的黑客攻击事件。这起攻击引起了多方媒体关注，此后该组织一波儿接着一波儿地攻击乌克兰的机场、传媒机构、银行、铁路和矿业公司。

BlackEnergy恶意软件还被用来瞄准工业目标，而在攻击其它组织机构时，该组织主要依赖社交工程、网络鱼叉式钓鱼和宏恶意软件攻击。

曾开发KillDisk清除器（假勒索软件）

该组织还开发一款与众不同的恶意软件“KillDisk”。这款恶意软件旨在破坏被感染的计算机，企图实施工业破坏或掩盖网络攻击的踪迹。这支黑客组织长期使用这款工具发起攻击，去年冬天，KillDisk攻击变本加厉。据报道，2016年12月，研究人员报告称发现KillDisk新版本（包含勒索软件组件）。

KillDisk勒索软件组件的初始版本粗糙，甚至不会索要赎金，仅显示电视剧《黑客军团》中的图像。

此后，该组织更新了KillDisk勒索软件组件，添加了勒索信，并要求受害者支付大量赎金（222比特币，当时约21.5万美元）。索要如此大笔赎金的做法表明，该组织感兴趣的不是金钱，或指望受害者支付赎金，就跟NotPetya一样，醉翁之意不在酒。

再后来，攻击者将KillDisk恶意软件移植到Linux。在大多数这些KillDisk攻击中，勒索软件组件被部署用来攻击乌克兰银行和海运公司，该组织持续将目标集中在乌克兰的目标上。

NotPetya、XData、BlackEnergy和Sandworm存在关联

ESET研究人员安东切列帕诺夫周五发布报告表示，ESET发现表明，该组织利用几款定制勒索软件家族攻击乌克兰目标。

TeleBots/BlackEnergy/Sandworm行动与三大勒索软件攻击【Win32/Filecoder.NKH（2017年3月）、XData（2017年5月）以及NotPetya（2017年6月）】共享基础设施和TTPS（战术、技术和程序）。

切列帕诺夫指出，所有这三起勒索软件攻击专门针对乌克兰目标，与该组织过去的目标一致，似乎要实施更大型的活动，以破坏乌克兰的商业部门。

卡巴斯基实验室周五发布了一份类似的报告，也认为TeleBots/BlackEnergy/Sandworm过去的攻击与NotPetya勒索软件之间存在关联，但卡巴斯基实验室称这不能算作确切的证据。

该组织与俄罗斯有关？

过去，多家网络安全公司认为，TeleBots/BlackEnergy/Sandworm与俄罗斯网络间谍行动有关。

然而，在NotPetya 攻击中，ESET或卡巴斯基并未公开表态指责俄罗斯，只是将其与一个知名APT组织相关联。

FireEye全球网络情报行动负责人约翰沃特斯在《金融时报》一篇文章中表示，他“有理由相信”，俄罗斯就是NotPetya勒索攻击的幕后黑手。
乌克兰官员已经公开指责NotPetya事件是俄罗斯安全机构所为。北约并未指明是俄罗斯，但表示，这些攻击是国家攻击者所为。从目前的政治格局来看，指责俄罗斯不足为奇。

证据不足

指责归指责，但却没有确凿的证据支撑这种推断。卡巴斯基GReAT团队的首席安全专家亚力克斯戈斯捷夫7月1日在Twitter上发表了另一种看法：

2015年乌克兰大规模停电事件后，BE3背后的黑客组织被解雇，从而利用旧工具和MO将目标瞄向金融行业。

该组织和NotPetya行动也许与俄罗斯过去实施的黑客攻击有关，但这并不意味着这支组织按俄罗斯官员的指示行事。

此外，这条推文包含其它论断，显示了NotPetya攻击归因的各种潜在场景。

尽管ESET和卡巴斯基发现了一些蛛丝马迹，但需要更确凿的证据才能证明相关猜测。

越来越多的网络攻击瞄准关键基础设施

本文提到，此次乌克兰遭到的NotPetya勒索软件攻击可能与2015年12月乌克兰电网遭受的网络攻击有关，涉及此事的黑客组织曾开发KillDisk清除器（假勒索软件）以攻击工业基础设施，而近期的勒索软件攻击，让乌克兰国家银行、电力公司受到较为严重的影响，乌克兰自2015年以来，电力基础设施每年都在不断“迎接”黑客组织的挑战。

研究人员最近发现，NotPetya勒索软件并不是来勒索的，它只是打着“勒索”的幌子在清除数据搞破坏！上周，NotPetya攻击了美国第二大制药公司及其医疗保健系统。5月出现的WannaCry勒索病毒被研究人员发现能够对基础设施展开攻击，这款软件能被设计用来攻击并操作工业设施，例如制造工厂、水电公共设施和关键基础设施的工业控制器。

未来，关键信息基础设施的保护将是网络安全保护的重中之重。

关键基础设施的范围

关键信息基础设施是指面向公众提供的网络信息服务或支撑能源、交通、水利、金融、公共服务、电子政务公用事业等重要行业和领域以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。匡恩网络将关键信息基础设施分为公众服务、民生服务及基础生产，具体包括如下：