攻击者利用BlackEnergy恶意软件攻击乌克兰电力网

ESET上周日报道称，一个威胁组织正在利用与俄罗斯有关的BlackEnergy恶意软件家族攻击乌克兰的新闻媒体以及电力企业。

BlackEnergy自2007年左右就出现，而且被用于多起针对性攻击中，包括针对乌克兰政府组织和美国关键基础设施企业发动的攻击。此前不久乌克兰安全服务SBU曾指责俄罗斯在几家地区电力企业网络中植入恶意软件，此外还指出攻击者还攻击了公司的技术支持热线电话。

ESET研究人员指出，他们正在分析的攻击和乌克兰当局汇报的攻击以及电力企业报告的网络攻击之间有联系。分析指出，乌克兰电力公司Prykarpattyaoblenergo是并非唯一一家遭受攻击的企业，而是多数其它受害者并不想披露自己遭受到的攻击而已。

卡巴斯基实验室指出，BlackEnergy在2014年使用的Windows以及Linux插件至少有24种。其中的一种Windows插件的目的是通过覆盖文件内容来毁掉存储在受感染机器硬盘上的数据。ESET指出，2015年，攻击者开始使用一种名为KillDisk的毁灭性插件，专门利用随机数据覆盖了4000多种文件类型并破坏了操作系统。乌克兰CERT在去年11月份指出，KillDisk组件是BlackEnergy在去年地方选举时用来针对新型企业发动攻击时采用的，目的是毁坏文档和视频文件。

之后又出现一种专门针对乌克兰能源企业的KillDisk变种。这种最新版本的威胁能让攻击者了解到毁灭性的有效负责何时应被激活，它能够删除Windows日志记录，并且专门毁坏35种文档、图像、数据库和配置文件的类型。

一旦感染系统，这款恶意软件就会针对一两种服务发动攻击。

SSH后门

ESET指出，这个威胁组织除了使用BlackEnergy恶意软件外，还会利用SSH后门获取对受感染系统的访问权限。攻击者利用一个执行DropbearSSHfuwuqi de VBS文件并将其配置以接收来自端口6789的连接。此外，攻击者还配置SSH服务器通过一个硬编码密码或密钥来进行验证。这个后门允许威胁发动者在需要时随时连接到被攻陷的网络。安全研究人员指出，目前该后门仅在一台被攻陷的机器中发现。