• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:311

重點摘要：
1.導致12月兩起烏克蘭電力設施中斷的攻擊者透過BlackEnergy和KillDisk,可能也曾試圖對烏克蘭礦業公司及大型鐵路公司進行類似攻擊。
2.惡意程式BlackEnergy不僅只是能源產業的問題；而延伸成為各產業的威脅，不管是公共事業和私營企業都應該意識到並準備好保護自己。雖然上述攻擊的動機一直是被重度炒作的話題，其主要目的似乎是為了癱瘓烏克蘭公共和關鍵基礎設施，可能是出自於政治動機。

●編註：近期發現與BlackEnergy類似的惡意軟體樣本如下：
amdide.sys（SHA1值：2D805BCA41AA0EB1FC7EC3BD944EFD7DBA686AE1）
aliide.sys的惡意軟體（SHA1值：C7E919622D6D8EA2491ED392A0F8457EA240）
而其他被用來攻擊烏克蘭電力設施及礦業公司的樣本有：
sys：C7E919622D6D8EA2491ED392A0F8457E4483EAE9
sys：0B4BE96ADA3B54453BD37130087618EA90168D72

而KillDisk也出現在烏克蘭電力設施攻擊事件中。有兩個樣本引起我們的注意：
svchost.exe（SHA1值：8AD6F88C5813C2B4CD7ABAB1D6C056D95D6AC569）和
crab.exe（SHA1值：16f44fac7e8bc94eccd7ad9692e6665ef540eec4）。
這兩個用來攻擊烏克蘭電力設施的樣本都可能被拿來對付這間大型礦業公司。

●趨勢科技表示這些事件的真相有許多種可能性，有三種可能性特別突出。其中之一是，攻擊者可能想經由對電力、礦業、交通設施的大規模或持續干擾來癱瘓烏克蘭。另一種可能性是，攻擊者部署惡意軟體到不同關鍵基礎設施系統來判斷哪一個最容易滲透，隨後來加以取得控制。一個可能理論是礦業和鐵路公司中所看到的惡意軟體只是在初步階段，攻擊者只是想測試其程式碼。

●TWCERT/CC建議各機關可檢視IDS或IPS是否也曾有以上病毒樣本偵測，以提升安全防護。

攻擊手法： APT

參考連結：

http://blog.trendmicro.com/trendlabs-security-intelligence/killdisk-and-blackenergy-are-not-just-energy-sector-threats/ http://blog.trendmicro.com.tw/?p=16456