网空闲话：乌克兰称挫败俄罗斯黑客攻击其电网

【秦安点评】网络空间风乍起，于无声处听惊雷。网络安全既是国家安全问题，也是重大民生问题，秦安战略头条号邀请专业人士，专门推出《网空闲话》专题，深度剖析网络空间蕴含的新质生产力、文化力、国防力，把新领域的热点、焦点、难点问题，与大家的生活、工作、学习联系起来，有助于做好网络安全知识普及和网络强国意识提升，让大家在网络空间新时代有更多获得感、幸福感、安全感。

乌克兰政府当地时间周二（4月12日）表示，乌政府成功挫败了俄罗斯的一次强力网络攻击，该攻击将于4月8日摧毁多个变电站和为200万人服务的电网的其他部分。乌克兰国家特殊通信和信息保护局副局长Victor Zhora在周二在与记者的简报会上称，俄罗斯军事情报黑客组织Sandworm是2016 年臭名昭著的乌克兰电网黑客攻击背后的一个多产且持续的行动组织，它使用了2016年事件中使用的“更先进和更复杂”的“ Industroyer ”恶意软件版本的变体。

斯洛伐克网络安全公司ESET和微软的分析师帮助乌克兰政府应对此次攻击。ESET周二发布了对恶意软件的分析，将其称为“Industroyer2”。研究人员表示，他们相信它能够控制特定的工业控制系统，以切断不明电气设施的电力。

除了Industroyer2，ESET研究人员报告称，看到Sandworm部署了几个针对电气基础设施的破坏性恶意软件系列，这可能是为了混淆对破坏性黑客活动的任何分析并使系统无法运行和不可恢复的努力的一部分。

Zhora告诉记者，乌克兰人在攻击开始前一天从未具名的“合作伙伴”那里得知部分电网可能受到损害。攻击被挫败，初步调查显示，攻击将分两波进行，2022年2月对系统进行初步破坏，并计划于4月8日破坏电力基础设施。ESET分析表明，Industroyer2恶意软件是3月23日编译，“暗示攻击者已经计划了两个多星期的攻击。”

根据最初以乌克兰语提供的评论的翻译，Zhora 周二表示：“我们能够识别它、对抗它并摧毁它。” 他补充说，他的假设是，这一努力旨在支持俄罗斯加强对乌克兰东部的袭击。

“我们都知道，他们正在准备对顿巴斯和哈尔科夫州进行大规模进攻，”他说。“这是在基辅城门口失败的普京士兵军事失败的结果，他重新集结军队征服乌克兰东部。他的副手在网络领域的这种行为很可能是为了支持和激化他的士兵的敌对行动，这些士兵不断杀害我国的平民。”

麻省理工科技评论周二报道称，乌克兰的计算机应急响应小组最初表示，黑客暂时关闭了九个站点。Zhora 回应说，较早的 CERT 报告是一份“初步报告”，他坚持关于转移攻击的声明。Zhora对早些时候的报道泄露表示不满。

连线的报道称，周二，乌克兰计算机应急响应小组 (CERT-UA) 和斯洛伐克网络安全公司ESET发布公告称，被证实为俄罗斯GRU军事情报机构 部队的 Sandworm 黑客组织已针对乌克兰的高压变电站使用一种称为 Industroyer 或 Crash Override 恶意软件的变体。这种名为 Industroyer2 的新恶意软件可以直接与电力设施中的设备交互，向控制电力流动的变电站设备发送命令，就像早期的样本一样。这标志着俄罗斯最激进的网络攻击团队在 2015 年和 2016 年对乌克兰电网进行历史性网络攻击多年后，试图在乌克兰进行第三次停电，乌克兰停电仍然是已知的唯一确认由黑客造成的停电。

周二晚些时候，Zhora 机构的一位发言人发表了另一份声明：“我们知道只有一个变电站（最多有9条线），其中只有一条线路可能经历了数分钟的空闲期，这可能是由容错机制造成的。”乌克兰CERT公布了攻击的IOC。

美国的网络安全专家和官员对周二乌克兰人的揭露做出了迅速反应。国土安全部网络安全和基础设施安全局 (CISA) 局长Jen Easterly在推特上表示，她的机构正在努力与乌克兰计算机应急响应小组就该攻击活动交换信息：

文章来源：《俄罗斯研究》 网址: http://www.elsyjzz.cn/zonghexinwen/2022/0414/902.html