乌克兰称挫败俄罗斯黑客攻击其电网的企图

乌克兰政府当地时间周二（4月12日）表示，乌政府成功挫败了俄罗斯的一次强力网络攻击，该攻击将于4月8日摧毁多个变电站和为200万人服务的电网的其他部分。乌克兰国家特殊通信和信息保护局副局长Victor Zhora在周二在与记者的简报会上称，俄罗斯军事情报黑客组织Sandworm是2016 年臭名昭著的乌克兰电网黑客攻击背后的一个多产且持续的行动组织，它使用了2016年事件中使用的“更先进和更复杂”的“ Industroyer ”恶意软件版本的变体。

斯洛伐克网络安全公司ESET和微软的分析师帮助乌克兰政府应对此次攻击。ESET周二发布了对恶意软件的分析，将其称为“Industroyer2”。研究人员表示，他们相信它能够控制特定的工业控制系统，以切断不明电气设施的电力。

除了Industroyer2，ESET研究人员报告称，看到Sandworm部署了几个针对电气基础设施的破坏性恶意软件系列，这可能是为了混淆对破坏性黑客活动的任何分析并使系统无法运行和不可恢复的努力的一部分。

Zhora告诉记者，乌克兰人在攻击开始前一天从未具名的“合作伙伴”那里得知部分电网可能受到损害。攻击被挫败，初步调查显示，攻击将分两波进行，2022年2月对系统进行初步破坏，并计划于4月8日破坏电力基础设施。ESET分析表明，Industroyer2恶意软件是3月23日编译，“暗示攻击者已经计划了两个多星期的攻击。”

根据最初以乌克兰语提供的评论的翻译，Zhora 周二表示：“我们能够识别它、对抗它并摧毁它。” 他补充说，他的假设是，这一努力旨在支持俄罗斯加强对乌克兰东部的袭击。

“我们都知道，他们正在准备对顿巴斯和哈尔科夫州进行大规模进攻，”他说。“这是在基辅城门口失败的普京士兵军事失败的结果，他重新集结军队征服乌克兰东部。他的副手在网络领域的这种行为很可能是为了支持和激化他的士兵的敌对行动，这些士兵不断杀害我国的平民。”

麻省理工科技评论周二报道称，乌克兰的计算机应急响应小组最初表示，黑客暂时关闭了九个站点。Zhora 回应说，较早的 CERT 报告是一份“初步报告”，他坚持关于转移攻击的声明。Zhora对早些时候的报道泄露表示不满。

连线的报道称，周二，乌克兰计算机应急响应小组 (CERT-UA) 和斯洛伐克网络安全公司ESET发布公告称，被证实为俄罗斯GRU军事情报机构 74455 部队的 Sandworm 黑客组织已针对乌克兰的高压变电站使用一种称为 Industroyer 或 Crash Override 的恶意软件的变体。这种名为 Industroyer2 的新恶意软件可以直接与电力设施中的设备交互，向控制电力流动的变电站设备发送命令，就像早期的样本一样。这标志着俄罗斯最激进的网络攻击团队在 2015 年和 2016 年对乌克兰电网进行历史性网络攻击多年后，试图在乌克兰进行第三次停电，乌克兰停电仍然是已知的唯一确认由黑客造成的停电。

周二晚些时候，Zhora 机构的一位发言人发表了另一份声明：“我们知道只有一个变电站(最多有9条线)，其中只有一条线路可能经历了数分钟的空闲期，这可能是由容错机制造成的。”乌克兰CERT公布了攻击的IOC。

美国的网络安全专家和官员对周二乌克兰人的揭露做出了迅速反应。国土安全部网络安全和基础设施安全局 (CISA) 局长Jen Easterly在推特上表示，她的机构正在努力与乌克兰计算机应急响应小组就该攻击活动交换信息：

网络安全公司Mandiant情报分析副总裁John Hultquist 在一份声明中表示：“沙虫是顶级掠食者，能够进行严肃的行动，但它们并非万无一失。他补充说：“这个故事最好的部分是乌克兰CERT和ESET阻止这些攻击的工作，这可能只会加剧乌克兰的痛苦。越来越清楚的是，乌克兰的袭击受到缓和的原因之一是那里的捍卫者非常具有对抗性，并且非常擅长对抗俄罗斯攻击 者。”

参考资源：

1.https://www.wired.com/story/sandworm-russia-ukraine-blackout-gru/

2.https://www.cyberscoop.com/ukrainian-electrical-grid-industroyer2-russia-sandworm/

3、https://cert.gov.ua/article/39518