乌克兰计算机紧急响应小组 (CERT-UA) 披露,俄罗斯黑客于 2024 年 3 月袭击了乌克兰的 20 个关键基础设施。
网络攻击针对乌克兰 10 个地区的能源、供暖和供水设施。CERT-UA 相信他们的目的是增强俄罗斯军队对目标设施进行导弹袭击的有效性。
乌克兰网络当局透露,俄罗斯黑客利用至少三个供应链来提供受感染的软件更新或利用第三方的特权访问来进行维护和技术支持。
发现后,乌克兰网络当局调查了所有事件,通知受影响的关键基础设施组织,并协助他们配置网络。
乌克兰网络防御者还分析并删除了受感染的软件。他们发现了两个 Linux 后门“Biasboat”和“Loadgrip”,它们源自“Queueseed”(也称为 Knuckletouch、wrongsen、IcyWell 或 Kapeka)后门。
自 2022 年俄罗斯黑客首次部署该恶意软件以针对供水设施进行破坏性网络攻击以来,乌克兰网络当局一直在追踪 Kapeka。该变体还被用于乌克兰以外的波兰,以运输和物流服务为目标。
Biasboat 与 LoadGrip 一起作为加密文件服务器运行,LoadGrip 是一个基于 C 的有效负载注入器,使用机器的唯一标识符进行加密。
相比之下,Queueseed 是一个基于 C++ 的 Windows 特定后门,具有远程代码执行 (RCE) 功能。它收集系统信息,例如计算机的操作系统、语言和用户名。它执行来自攻击者的命令和控制 (C2) 服务器的指令,并以 RSA 和 AES 加密的 JSON 格式发送结果。
Queueseed 还可以处理文件操作,包括删除自身以隐藏攻击者在受感染系统上的活动。它将加密的配置存储在 Windows 注册表中,并创建自动化任务以实现无人值守执行以建立持久性。
乌克兰网络防御者还检测到 GOSSIPFLOW,这是一种使用 Go 编程语言开发的恶意程序。该恶意软件使用 Yamux 多路复用器库提供隧道功能,并充当 SOCKS5 代理。
俄罗斯黑客武器库中的其他工具包括 Chisel、LibProcessHider、JuicyPotatoNG 和 RottenPotatoNG。
Centripetal高级情报运营分析师马特·斯帕罗 (Matt Sparrow) 表示:“正在使用的新工具与免费和开源工具的结合表明,他们有兴趣避免检测,同时保留以前未使用的有效负载。”
俄罗斯黑客组织 Sandworm(也称为 APT44、BlackEnergy、Seashell Blizzard 和 Voodoo Bear)经常部署 Queueseed 后门。该恶意软件的存在将 Sandworm 归因于对乌克兰关键基础设施的网络攻击。
该组织与俄罗斯武装部队总参谋部(GRU)关系密切。根据Mandiant 的一份报告,Sandworm与北美、欧洲、中东、亚洲和拉丁美洲的网络间谍活动、破坏性攻击和信息战有关。
APT44 还被用来推进俄罗斯的地缘政治目标。报告称,“Sandworm”的行动比任何其他组织都更好地与俄罗斯常规部队结合。
“Sandworm是一个非常有能力的专业APT组织,现在很明显,他们之前发现的所有能力都符合每个人的怀疑。”斯帕罗继续说道。“他们一直准备在战争期间利用这些能力来延迟、破坏或摧毁目标的能力。”
乌克兰网络防御者指责受影响的关键基础设施组织的网络安全实践不佳,这使得俄罗斯黑客能够获得访问权限并阻碍了事件响应。
CERT-UA 强调网络分段不当或缺乏,导致攻击蔓延。同样,他们痛斥第三方软件供应商的疏忽导致应用程序存在微不足道的漏洞,允许俄罗斯黑客利用远程代码执行。
自2022年以来,俄罗斯通过动能打击和破坏性网络攻击积极瞄准乌克兰的关键基础设施,迫使该国屈服。2022 年 4 月,俄罗斯黑客试图擦除乌克兰变电站的数据,以中断电力分配。
