研究人员发现了BlackEnergy APT组织和上个月使用Expetr恶意软件实施全球攻击的背后操纵者之间的联系。 BlackEnergy 的 KillDisk 勒索软件 的旧版本和Expetr代码有很强的相似性。2015年底, 乌克兰电网分析报告中就表示,攻击者跟 BlackEnergy 3 和KillDisk 相关, 报告还表示攻击者仍有机会在其他国家发动类似的攻击 。
卡巴斯基与Palo Alto安全公司展开协作
此次,卡巴斯基的研究人员称, BlackEnergy 和 ExPetr 在有针对性的扩展组件中,首次发现了相似性。卡巴斯基实验室与 Palo Alto 网络的研究人员展开协作, 说他们 "专注于类似的扩展名列表,负责解析加密或清除文件系统的代码"。卡巴斯基实验室全球研究和分析小组的研究员在上周五的一篇文章中提到。
“我们试图一起去建立一个功能列表,用来制定YARA规则,以检测ExPetr和 BlackEnergy擦除器 。”
YARA 是一个工具,用于检查不同的文件和目录并找到基于签名的相似性。
"我们对代码进行自动比对, 并将结果按照签名进行准确匹配,希望能够找到其中的相似之初。我们将通用代码和有趣的字符串进行组合, 形成统一的规则, 以甄别 BlackEnergy KillDisk 组件和 ExPetr 的样本, "
仔细检查 BlackEnergy KillDisk 勒索软件和 ExPetr擦除器恶意软件中使用的代码后, 发现了"低置信度" 的相似性。然而, 研究人员说, 当更多YARA规则投入检测时, 相似性变得非常精确。
研究员表示
"当然, 这不能说两者之间是有明确的联系, 但它确实表明了这些恶意软件家族之间的某些代码设计的相似之处,"
这项研究可能有利于确定幕后的攻击者,是谁在利用expetr和擦除器恶意软件破坏了成千上万的电脑。BlackEnergy apt组织早就知道使用0day, 破坏性的工具和恶意代码,攻击工业控制系统,它在2015年袭击了乌克兰电网,并在过去几年中实施了一系列类似的破坏性攻击。
卡巴斯基认为Expetr不能算勒索软件 因为它并不解密
在过去的几天里,Expetr一直被当做wiper恶意软件而非最初认定的勒索软件。虽然它也具有勒索组件,但即使受害者支付了赎金。Expetr也无法解密受害者的磁盘,
虽然在检测中被证实了具有相似性,但是卡巴斯基实验室的高级安全研究员Guerrero-Saade上周在与 Comae 技术公司的一次网络研讨会上说,
"你不能把这种没有解密方法的攻击的方式称为勒索病毒”。
ESET安全公司也有研究称 Expetr与BlackEnergy有关
ESET 的类似研究也发现了 ExPetr 和 BlackEnergy 之间的联系。根绝ESET的研究,跟 BlackEnergy有关联的TeleBots组织 也和Expetr的爆发有关。ExPetr恶意软件中的KillDisk加密模块正带着TeleBots的印记。他们表示,
“在攻击的最后阶段,TeleBots总是使用KillDisk恶意软件来覆盖某些文件,这些文件在受害者磁盘上具有特定文件扩展名。”
BlackEnergy 和 TeleBots 都有针对乌克兰关键基础设施和银行实施攻击的历史。ExPetr 爆发被认为源于乌克兰金融软件供应商MEDoC的更新机制。此外, 攻击还导致乌克兰城市 Bakhmut 的政府网站被破坏, 并被用于通过驱动器下载的方式传播恶意病毒。
卡巴斯基实验室的研究人员写道:
"这种低置信度, 但让人执着的预感, 促使我们向世界各地的其他研究人员发出邀请,邀请你们与我们一起调查这些相似之处, 找寻更多关于 ExPetr/Petya起源的真想。”
北约合作网络防御中心认为 ExPetr攻击很可能是国家行为
另外, 北约合作网络防御中心 (ccd coe) 的研究人员认为, ExPetr 攻击很可能是国家行为。 他们在6月30日发布的声明中称,
"在2017年6月27日,NotPetya (或 ExPetr) 恶意软件在全球爆发,并攻击了位于乌克兰、欧洲、美国和俄国的多个机构,这极有可能是国家行为。"
然而, 北约国际网络安全部门表示, 目前还不清楚到底是谁在幕后袭击。ccd coe 报告称:
"在任何政府的竞选活动中,都缺乏明确的强制措施, 因此禁止干预并不起作用”。
根据 ccd coe 声明提示称, 网络攻击引发的现实世界影响,能够触发北大西洋公约5条, 其中可能包括军事反应。
"但是, 目前没有关于这种影响的报告,"
