2015年12月烏克蘭停電事件發(fā)生后，BlackEnergy備受關(guān)注。BlackEnergy木馬軟件主要是攻擊數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）的安全。其最新變種KillDisk組件可以擦除硬盤內(nèi)容、讓系統(tǒng)無法工作。烏克蘭政府指控俄羅斯參與了導(dǎo)致停電事件的攻擊，不過進(jìn)一步的分析表明，BlackEnergy惡意軟件并不直接對停電事件負(fù)責(zé)。

近日趨勢科技公司宣布，其在烏克蘭一家礦業(yè)公司和鐵路運(yùn)營商的系統(tǒng)上發(fā)現(xiàn)了BlackEnergy和KillDisk樣本。

安全專家注意到，這家礦業(yè)公司的系統(tǒng)還感染了KillDisk的多個變種。這些樣本與感染烏克蘭電力公司的KillDisk組件具有同樣的作用。

安全研究人員認(rèn)為，幕后的攻擊者與當(dāng)初攻擊烏克蘭電力公司系同一伙人。研究人員注意到樣本、命名約定、控制基礎(chǔ)設(shè)施和攻擊時機(jī)等方面存在著許多相似之處。

趨勢科技發(fā)現(xiàn)數(shù)個樣本變種，與當(dāng)初感染烏克蘭電力公司的BlackEnergy類似，這個惡意軟件使用同樣的指揮和控制（C&C)）服務(wù)器。

趨勢科技在其發(fā)布的一篇博文聲稱：“與針對烏克蘭礦業(yè)公司發(fā)動的攻擊一樣，我們還目睹KillDisk可能被用來攻擊隸屬烏克蘭全國鐵路系統(tǒng)的一家大型烏克蘭鐵路公司。文件tsk.exe（SHA1: f3e41eb94c4d72a98cd743bbb02d248f510ad925）被標(biāo)為是KillDisk，既用于攻擊這家鐵路公司，又用于攻擊電力公司的活動。這似乎是烏克蘭電力公司感染造成的唯一余波。然而，我們沒有證據(jù)表明BlackEnergy出現(xiàn)在鐵路系統(tǒng)上，只能說它可能出現(xiàn)在網(wǎng)絡(luò)的某個地方。”

專家們對這起攻擊的幾種原因進(jìn)行了闡釋；最合理的一種說法是具有政治動機(jī)的持續(xù)攻擊者采取的攻勢。旨在攻擊烏克蘭關(guān)鍵基礎(chǔ)設(shè)施，破壞該國穩(wěn)定性。

Wilhoit說：“一種可能是，攻擊者可能想通過持續(xù)地破壞電力、礦業(yè)和交通運(yùn)輸?shù)仍O(shè)施，破壞烏克蘭的穩(wěn)定性。另一種可能是，他們將惡意軟件植入到不同的關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)，確定哪一種基礎(chǔ)設(shè)施系統(tǒng)最容易被滲透，因而獲得控制權(quán)。一種相關(guān)的說法是，礦業(yè)和鐵路公司的感染可能只是初步的感染，攻擊者只是在企圖測試代碼庫。”

無論是哪種情況，針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊都會給任何國家政府構(gòu)成嚴(yán)重威脅。

據(jù)悉，為應(yīng)對BlackEnergy木馬的危害，360企業(yè)安全在2015年底已經(jīng)開發(fā)出了BlackEnergy木馬掃描工具，現(xiàn)在正在定向給國內(nèi)用戶提供免費(fèi)掃描服務(wù)。