E安全7月4日訊 上周五，三家網路安全公司發布報告或聲明稱，NotPetya勒索攻擊的罪魁禍首可能與過去發生的大量網路攻擊有關，例如2015年12月烏克蘭電網遭受的網路攻擊。

這群黑客組織自2007年開始活躍。研究人員追蹤發現該組織曾被命名為不同的名稱，例如Sandworm（沙蟲）、BlackEnergy（暗黑力量）、TeleBots、Electrum、TEMP.Noble和Quedagh。

「該」黑客組織歷史悠久

該組織以兩大事件而「聞名」：

• 攻擊工業基礎設施；

• 最近對烏克蘭發起的大肆攻擊。

2014年，這支黑客組織因使用Windows 0Day漏洞（CVE-2014-4114）攻擊北約和政府組織機構而聲名狼藉。

該組織通常通過BlackEnergy惡意軟體（自2007年部署的v1、v2和v3）攻擊數據採集與監控系統（SCADA）網路。

雖然該組織最初的目標遍及全球，而在2014年，該組織開始將主要目標聚焦在烏克蘭目標上，即俄羅斯佔領克里米亞半島後不久。

這支黑客組織發起的攻擊中，最臭名昭著的要數2015年聖誕節烏克蘭電網遭遇的黑客攻擊事件。這起攻擊引起了多方媒體關注，此後該組織一波兒接著一波兒地攻擊烏克蘭的機場、傳媒機構、銀行、鐵路和礦業公司。

BlackEnergy惡意軟體還被用來瞄準工業目標，而在攻擊其它組織機構時，該組織主要依賴社交工程、網路魚叉式釣魚和宏惡意軟體攻擊。

曾開發KillDisk清除器（假勒索軟體）

該組織還開發一款與眾不同的惡意軟體「KillDisk」。這款惡意軟體旨在破壞被感染的計算機，企圖實施工業破壞或掩蓋網路攻擊的蹤跡。這支黑客組織長期使用這款工具發起攻擊，去年冬天，KillDisk攻擊變本加厲。據報道，2016年12月，研究人員報告稱發現KillDisk新版本（包含勒索軟體組件）。

KillDisk勒索軟體組件的初始版本粗糙，甚至不會索要贖金，僅顯示電視劇《黑客軍團》中的圖像。

此後，該組織更新了KillDisk勒索軟體組件，添加了勒索信，並要求受害者支付大量贖金（222比特幣，當時約21.5萬美元）。索要如此大筆贖金的做法表明，該組織感興趣的不是金錢，或指望受害者支付贖金，就跟NotPetya一樣，醉翁之意不在酒。

再後來，攻擊者將KillDisk惡意軟體移植到Linux。在大多數這些KillDisk攻擊中，勒索軟體組件被部署用來攻擊烏克蘭銀行和海運公司，該組織持續將目標集中在烏克蘭的目標上。

NotPetya、XData、BlackEnergy和Sandworm存在關聯

ESET研究人員安東切列帕諾夫周五發布報告表示，ESET發現表明，該組織利用幾款定製勒索軟體家族攻擊烏克蘭目標。

TeleBots/BlackEnergy/Sandworm行動與三大勒索軟體攻擊【Win32/Filecoder.NKH（2017年3月）、XData（2017年5月）以及NotPetya（2017年6月）】共享基礎設施和TTPS（戰術、技術和程序）。

切列帕諾夫指出，所有這三起勒索軟體攻擊專門針對烏克蘭目標，與該組織過去的目標一致，似乎要實施更大型的活動，以破壞烏克蘭的商業部門。

卡巴斯基實驗室周五發布了一份類似的報告，也認為TeleBots/BlackEnergy/Sandworm過去的攻擊與NotPetya勒索軟體之間存在關聯，但卡巴斯基實驗室稱這不能算作確切的證據。

該組織與俄羅斯有關？

過去，多家網路安全公司認為，TeleBots/BlackEnergy/Sandworm與俄羅斯網路間諜行動有關。

然而，在NotPetya 攻擊中，ESET或卡巴斯基並未公開表態指責俄羅斯，只是將其與一個知名APT組織相關聯。

FireEye全球網路情報行動負責人約翰沃特斯在《金融時報》一篇文章中表示，他「有理由相信」，俄羅斯就是NotPetya勒索攻擊的幕後黑手。

烏克蘭官員已經公開指責NotPetya事件是俄羅斯安全機構所為。北約並未指明是俄羅斯，但表示，這些攻擊是國家攻擊者所為。從目前的政治格局來看，指責俄羅斯不足為奇。

證據不足

指責歸指責，但卻沒有確鑿的證據支撐這種推斷。卡巴斯基GReAT團隊的首席安全專家亞力克斯戈斯捷夫7月1日在Twitter上發表了另一種看法：

2015年烏克蘭大規模停電事件後，BE3背後的黑客組織被解僱，從而利用舊工具和MO將目標瞄向金融行業。

該組織和NotPetya行動也許與俄羅斯過去實施的黑客攻擊有關，但這並不意味著這支組織按俄羅斯官員的指示行事。

此外，這條推文包含其它論斷，顯示了NotPetya攻擊歸因的各種潛在場景。

儘管ESET和卡巴斯基發現了一些蛛絲馬跡，但需要更確鑿的證據才能證明相關猜測。

越來越多的網路攻擊瞄準關鍵基礎設施

本文提到，此次烏克蘭遭到的NotPetya勒索軟體攻擊可能與2015年12月烏克蘭電網遭受的網路攻擊有關，涉及此事的黑客組織曾開發KillDisk清除器（假勒索軟體）以攻擊工業基礎設施，而近期的勒索軟體攻擊，讓烏克蘭國家銀行、電力公司受到較為嚴重的影響，烏克蘭自2015年以來，電力基礎設施每年都在不斷「迎接」黑客組織的挑戰。

研究人員最近發現，NotPetya勒索軟體並不是來勒索的，它只是打著「勒索」的幌子在清除數據搞破壞！上周，NotPetya攻擊了美國第二大製藥公司及其醫療保健系統。5月出現的WannaCry勒索病毒被研究人員發現能夠對基礎設施展開攻擊，這款軟體能被設計用來攻擊並操作工業設施，例如製造工廠、水電公共設施和關鍵基礎設施的工業控制器。

未來，關鍵信息基礎設施的保護將是網路安全保護的重中之重。

關鍵基礎設施的範圍

關鍵信息基礎設施是指面向公眾提供的網路信息服務或支撐能源、交通、水利、金融、公共服務、電子政務公用事業等重要行業和領域以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施。匡恩網路將關鍵信息基礎設施分為公眾服務、民生服務及基礎生產，具體包括如下：

• 公眾服務：如黨政機關網站、企事業單位網站、新聞網站等;

• 民生服務：包括金融、電子政務、公共服務等;

• 基礎生產：能源、水利、交通、數據中心、電視廣播等。

相關閱讀：

烏克蘭電網遭遇黑客攻擊：九個有待解答的問題

烏克蘭電網再次中斷 或又是黑客所為

烏克蘭電網事件和美國大選惡意軟體同源性分析

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！