烏克蘭稱挫敗俄羅斯黑客攻擊其電網的企圖

烏克蘭政府當地時間周二（4月12日）表示，烏政府成功挫敗了俄羅斯的一次強力網絡攻擊，該攻擊將于4月8日摧毀多個變電站和為200萬人服務的電網的其他部分。烏克蘭國家特殊通信和信息保護局副局長Victor Zhora在周二在與記者的簡報會上稱，俄羅斯軍事情報黑客組織Sandworm是2016 年臭名昭著的烏克蘭電網黑客攻擊背后的一個多產且持續的行動組織，它使用了2016年事件中使用的“更先進和更復雜”的“ Industroyer ”惡意軟件版本的變體。

斯洛伐克網絡安全公司ESET和微軟的分析師幫助烏克蘭政府應對此次攻擊。ESET周二發布了對惡意軟件的分析，將其稱為“Industroyer2”。研究人員表示，他們相信它能夠控制特定的工業控制系統，以切斷不明電氣設施的電力。

除了Industroyer2，ESET研究人員報告稱，看到Sandworm部署了幾個針對電氣基礎設施的破壞性惡意軟件系列，這可能是為了混淆對破壞性黑客活動的任何分析并使系統無法運行和不可恢復的努力的一部分。

Zhora告訴記者，烏克蘭人在攻擊開始前一天從未具名的“合作伙伴”那里得知部分電網可能受到損害。攻擊被挫敗，初步調查顯示，攻擊將分兩波進行，2022年2月對系統進行初步破壞，并計劃于4月8日破壞電力基礎設施。ESET分析表明，Industroyer2惡意軟件是3月23日編譯，“暗示攻擊者已經計劃了兩個多星期的攻擊。”

根據最初以烏克蘭語提供的評論的翻譯，Zhora 周二表示：“我們能夠識別它、對抗它并摧毀它。” 他補充說，他的假設是，這一努力旨在支持俄羅斯加強對烏克蘭東部的襲擊。

“我們都知道，他們正在準備對頓巴斯和哈爾科夫州進行大規模進攻，”他說。“這是在基輔城門口失敗的普京士兵軍事失敗的結果，他重新集結軍隊征服烏克蘭東部。他的副手在網絡領域的這種行為很可能是為了支持和激化他的士兵的敵對行動，這些士兵不斷殺害我國的平民。”

麻省理工科技評論周二報道稱，烏克蘭的計算機應急響應小組最初表示，黑客暫時關閉了九個站點。Zhora 回應說，較早的 CERT 報告是一份“初步報告”，他堅持關于轉移攻擊的聲明。Zhora對早些時候的報道泄露表示不滿。

連線的報道稱，周二，烏克蘭計算機應急響應小組 (CERT-UA) 和斯洛伐克網絡安全公司ESET發布公告稱，被證實為俄羅斯GRU軍事情報機構 74455 部隊的 Sandworm 黑客組織已針對烏克蘭的高壓變電站使用一種稱為 Industroyer 或 Crash Override 的惡意軟件的變體。這種名為 Industroyer2 的新惡意軟件可以直接與電力設施中的設備交互，向控制電力流動的變電站設備發送命令，就像早期的樣本一樣。這標志著俄羅斯最激進的網絡攻擊團隊在 2015 年和 2016 年對烏克蘭電網進行歷史性網絡攻擊多年后，試圖在烏克蘭進行第三次停電，烏克蘭停電仍然是已知的唯一確認由黑客造成的停電。

周二晚些時候，Zhora 機構的一位發言人發表了另一份聲明：“我們知道只有一個變電站(最多有9條線)，其中只有一條線路可能經歷了數分鐘的空閑期，這可能是由容錯機制造成的。”烏克蘭CERT公布了攻擊的IOC。

美國的網絡安全專家和官員對周二烏克蘭人的揭露做出了迅速反應。國土安全部網絡安全和基礎設施安全局 (CISA) 局長Jen Easterly在推特上表示，她的機構正在努力與烏克蘭計算機應急響應小組就該攻擊活動交換信息：

網絡安全公司Mandiant情報分析副總裁John Hultquist 在一份聲明中表示：“沙蟲是頂級掠食者，能夠進行嚴肅的行動，但它們并非萬無一失。他補充說：“這個故事最好的部分是烏克蘭CERT和ESET阻止這些攻擊的工作，這可能只會加劇烏克蘭的痛苦。越來越清楚的是，烏克蘭的襲擊受到緩和的原因之一是那里的捍衛者非常具有對抗性，并且非常擅長對抗俄羅斯攻擊 者。”

參考資源：

1.https://www.wired.com/story/sandworm-russia-ukraine-blackout-gru/

2.https://www.cyberscoop.com/ukrainian-electrical-grid-industroyer2-russia-sandworm/

3、https://cert.gov.ua/article/39518