Kaspersky Lab:威胁工控及能源系统的BlackEnergy病毒已经可以借助Word进行传播
卡巴斯基安全实验室(Kaspersky Lab)在上周介绍了被怀疑是早前造成乌克兰停电事件有关的木马病毒BlackEnergy。
BlackEnergy原本是藏匿在微软旗下办公软件Excel和PowerPoint中进行攻击,不过卡巴斯基称本次BlackEnergy已经借助于Word进行攻击。
BlackEnergy病毒最早出现在2007年,作者把BlackEnergy的源代码卖掉之后很多黑客使用它来作为DDoS攻击工具。
然而安全研究人员在2014年发现了有黑客集团利用BlackEnergy攻击工业控制系统(ICS)和能源系统并搜集工具和监控,这让BlackEnergy升级为先进、持续威胁工具。
该黑客集团最主要的攻击目标就是乌克兰:在2014年到2015年期间乌克兰陆续传出了数起遭到BlackEnergy攻击的报告。
黑客过去一般是通过PowerPoint或者Excel文件作为藏匿BlackEnergy的媒介,当用户打开这些文档的宏功能(Macro)后BlackEnergy就可以感染至设备。
不过这次出现在乌克兰的攻击事件中BlackEnergy却是通过Word文件作为媒介进行感染,这在之前是没有过的。
但是只要是拥有宏功能的文件不论是PowerPoint、Excel、Word等都可以成为BlackEnergy的宿主进行感染。
美国国土安全部下属的工控系统电脑应急处理中心(ICS-CERT)、美国电脑应急处理中心(US-CERT)和乌克兰应急处理中心(Ukrainian CERT)正在练手调查去年12月23日的乌克兰停电事件。
他们确实已经在乌克兰的系统上发现了BlackEnergy,不过目前还没有证据证实BlackEnergy就是造成停电的元凶。
卡巴斯基安全实验室则提醒BlackEnergy是个高度活跃的攻击威胁,除了危害工控系统以及间谍行动外黑客集团的主要目的就是破坏。
黑客的攻击目标除了乌克兰的工控系统、能源、政府及媒体外可能也会扩散至全球的工控系统和间谍行动中,因此建议企业要将BlackEnergy纳入安全防护的考虑之中。