Industroyer2 Malware
在俄羅斯入侵該國之前和之後,烏克蘭的關鍵基礎設施服務一直是網絡攻擊的目標。網絡犯罪分子似乎仍在發起更多攻擊行動,最新目標之一是烏克蘭能源供應商。
威脅活動試圖部署一種名為 Industroyer2 的新惡意軟件,該惡意軟件能夠破壞或破壞受害者的 ICS(工業控制系統)。該行動針對的是高壓變電站,據報導未能實現其邪惡目標。烏克蘭的計算機應急響應小組 (CERT-UA)、微軟和網絡安全公司 ESET 正在分析這次攻擊。到目前為止,可能的罪魁禍首是Sandworm威脅組織,據信該組織是在俄羅斯 GRU 情報機構的命令下運作的。
威脅特徵
Industroyer2 威脅似乎是一種新的改進版本的惡意軟件,稱為 Industroyer ( CRASHOVERRIDE )。早在 2016 年 12 月,最初的 Industroyer 就被部署為針對烏克蘭變電站的攻擊的一部分,該變電站成功地導致了短暫的停電。現在,Industroyer2 威脅正在以類似的方式使用。它作為 Windows 可執行文件部署在目標系統上,本應在 4 月 8 日通過計劃任務執行。
為了與目標的工業設備進行通信,Industroyer2 使用 IEC-104 (IEC 60870-5-104) 協議。這意味著它會影響變電站中的保護繼電器。相比之下,較舊的 Industroyer 威脅是完全模塊化的,可以為多個 ICS 協議部署有效載荷。在配置數據中發現了另一個差異。雖然最初的威脅使用單獨的文件來存儲此信息,但 Industroyer2 將其配置數據硬編碼到其主體中。因此,每個威脅樣本都需要針對所選受害者的環境進行專門定制。
