Industroyer2 Malware
在俄罗斯入侵该国之前和之后,乌克兰的关键基础设施服务一直是网络攻击的目标。网络犯罪分子似乎仍在发起更多攻击行动,最新目标之一是乌克兰能源供应商。
威胁活动试图部署一种名为 Industroyer2 的新恶意软件,该恶意软件能够破坏或破坏受害者的 ICS(工业控制系统)。该行动针对的是高压变电站,据报道未能实现其邪恶目标。乌克兰的计算机应急响应小组 (CERT-UA)、微软和网络安全公司 ESET 正在分析这次攻击。到目前为止,可能的罪魁祸首是Sandworm威胁组织,据信该组织是在俄罗斯 GRU 情报机构的命令下运作的。
威胁特征
Industroyer2 威胁似乎是一种新的改进版本的恶意软件,称为 Industroyer ( CRASHOVERRIDE )。早在 2016 年 12 月,最初的 Industroyer 就被部署为针对乌克兰变电站的攻击的一部分,该变电站成功地导致了短暂的停电。现在,Industroyer2 威胁正在以类似的方式使用。它作为 Windows 可执行文件部署在目标系统上,本应在 4 月 8 日通过计划任务执行。
为了与目标的工业设备进行通信,Industroyer2 使用 IEC-104 (IEC 60870-5-104) 协议。这意味着它会影响变电站中的保护继电器。相比之下,较旧的 Industroyer 威胁是完全模块化的,可以为多个 ICS 协议部署有效载荷。在配置数据中发现了另一个差异。虽然最初的威胁使用单独的文件来存储此信息,但 Industroyer2 将其配置数据硬编码到其主体中。因此,每个威胁样本都需要针对所选受害者的环境进行专门定制。
