GreyEnergy：瞄准乌克兰电力网的新组织

翻译：360代码卫士团队

自2015年和2016年乌克兰电力网遭受攻击以来，研究人员一直都在追踪幕后黑手的发展情况以警告组织机构警惕再次遭攻击。周三，ESET 公司的分析师披露了一个攻击乌克兰和波兰能源企业的子组织，它的行踪更加隐秘。

ESET 公司将该组织命名为“GreyEnergy”，被指衍生自“BlackEnergy”组织。 BlackEnergy 组织在2015年因导致约22.5万人口的电力供应中断而为人所知，而 GreyEnergy 组织截止目前为止采取的是侦察和间谍活动，为潜在目标截屏、窃取凭证并渗透文件。

ESET 公司的首席研究人员 Anton Cherepanov 表示，GreyEnergy 这么做是想避开侦察，它可能是2015年年底由 BlackEnergy 发展而来的变身。BlackEnergy 组织让全世界第一次见证了网络攻击可导致断电。

其它网络安全公司认为 BlackEnergy 组织的幕后推手是 Sandworm，即被西方政府认为源自俄罗斯军事情报局的组织。上周，ESET 公司的研究人员以自定义远程访问工具作为证据，将2015年和2016年攻击乌克兰电力网的黑客组织和去年发生的 NotPetya 恶意软件攻击关联在一起。

ESET 公司指出，“GreyEnergy 组织是让乌克兰近几年来恐惧不已的最危险的 APT 之一的重要武器库组成部分。我们认为它是 BlackEnergy 工具集的继承者。”

GreyEnergy 使用的恶意软件和 BlackEnergy 组织以及另外一个子组织 TeleBots （ESET 公司认为是 NotPetya 攻击的幕后推手）之间存在强烈的相似之处。ESET 公司指出，GreyEnergy 在2016年12月使用“类似于 NotPetya 的蠕虫”（六个月之后让全球蒙受重大损失的NotPetya 擦除器的前身）。该蠕虫仅在小范围目标之间传播，并未在网络安全行业引起重大反响。但它和 NotPetya 之间的相似指出表明，TeleBots 和 GreyEnergy 之间存在协作关系。

ESET 公司的安全研究员尚未发现 GreyEnergy 使用“能够影响”工控系统的恶意软件模块。这和2016年乌克兰某变电站网络攻击活动中的专门针对工控系统的“Industroyer”恶意软件大不相同。然而，GreyEnergy 黑客至少曾经“部署磁盘清除组件破坏受影响组织机构中的操作进程并隐藏行踪”。

美国和以色列政府被指使用“震网”病毒攻击伊朗核设施；与之类似，GreyEnergy 显然也使用了供应链设备的被盗数字证书。该证书盗自台湾工控设备制造商研华科技 (Advantech)。在震网病毒案例中，证书同样盗自台湾的两家硬件公司。ESET 发布的这份研究报告提醒我们，APT 有时候会互相追踪各自的攻击活动，从中吸取经验教训并学以致用。

原文链接

https://www.cyberscoop.com/greyenergy-eset-ukraine-sandworm-telebots/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。