資安業者卡巴斯基實驗室(Kaspersky Lab)本周解析了被懷疑與日前造成烏克蘭停電事件有關的木馬程式BlackEnergy,指出BlackEnergy跳脫了原本藏匿在微軟Excel或PowerPoint檔案中的行徑,改以Word檔案作為棲身之所。

BlackEnergy木馬程式最早出現在2007年,在作者賣掉了BlackEnergy原始碼之後,一度被各方駭客用來作為DDoS的攻擊工具,然而,資安業者在2014年發現有一駭客集團利用BlackEnergy攻擊工業控制系統(ICS)與能源系統,以蒐集資料並進行監控,讓BlackEnergy升級為先進持續威脅(Advanced Persistent Threat,APT)工具。

該駭客集團最主要的攻擊目標為烏克蘭,在2014年到2015年間烏克蘭陸續傳出數起遭到BlackEnergy攻擊的報告,駭客過去是以PowerPoint或Excel檔案作為藏匿BlackEnergy的媒介,當受害者啟用Excel文件的巨集功能後,就會在電腦上安裝BlackEnergy木馬,不過,這次出現在烏克蘭系統上的BlackEnergy卻是透過Word文件散布。

基本上,只要是具備巨集功能的檔案,不論是PowerPoint、Excel或Word,都可成為BlackEnergy的宿主。

美國國土安全局旗下的工業控制系統電腦緊急應變中心(ICS-CERT)、美國電腦緊急應變中心(US-CERT)與烏克蘭緊急電腦應變中心(Ukrainian CERT)正聯手調查去年12月23日的烏克蘭停電事件,他們的確在烏克蘭系統上發現了BlackEnergy,但迄今仍無法證實停電就是BlackEnergy造成的。

卡巴斯基實驗室則提醒,BlackEnergy是個高度活躍的攻擊威脅,除了危害工業控制系統及間諜行動之外,駭客集團的主要目的就是為了破壞。駭客的攻擊目標除了烏克蘭的工業控制系統、能源、政府及媒體之外,可能也會擴及全球的工業控制/資料蒐集暨監控(SCADA)企業,或是全球的能源企業,因而建議相關組織在設計安全防禦架構時應將BlackEnergy納入考慮。


Advertisement

更多 iThome相關內容