安全研究人员发现 Industroyer 与 NotPetya 同属于俄罗斯黑客组织

据外媒 ZDNet 报道，网络安全公司 ESET 的恶意软件分析人员最近发现了实质性证据，证明针对乌克兰电网的网络攻击和 2017 年 6 月爆发的 NotPetya 勒索软件背后是同一组织。

这两者之间并不是直接联系，而是研究人员在今年 4 月一次黑客攻击中通过名叫 Exaramel 的恶意软件发现的。Exaramel 后门是从 Telebots 的服务器基础设施部署的，这也是 NotPetya 勒索软件所依赖的基础设施。

在分析报告中 ESET  称 Exaramel 后门“是后门组件的改进版本”，是针对工业控制系统（ICS）的恶意软件 Industroyer 的一部分，Industroyer 曾在2016年12月引发乌克兰停电。虽然之前已有推测到这种联系，但没有实质性证据，Exaramel 的发现证实了研究人员的想法。

下图是 ESET 研究人员推测 BlackEnergy 集团的演变，该集团在 Industroyer 之前一年，在2015年12月同样袭击了乌克兰的电网。

  考虑到从 2017 年 7 月以来多方将 NotPetya 与 BlackEnergy 攻击联系起来的报告，可以说上图所有攻击的幕后推手都属于同一组织。ESET 的发现适时为西方政府最近提出的指控提供了事实和技术证据。

  今年2月，Five Eyes 联盟国家的政府都指责俄罗斯策划了 NotPetya 勒索软件的爆发。本月早些时候，英国和澳大利亚发表声明，指责俄罗斯主要情报局（GRU）俄罗斯武装部队的军事情报机构发生多起网络攻击事件。声明称俄罗斯的 GRU 背后是一系列网络间谍组织和黑客行动，所列出的名称包括 Sandworm 和 BlackEnergy，在网络安全行业的众多报告中这两个名称被用作 TeleBot 的替代词。

  ESET 的研究对政府报告提供了有力支撑，俄罗斯在2015年和2016年制造恶意软件以瞄准乌克兰的电网，后来部署了针对乌克兰公司的 NotPetya 勒索软件，这是俄罗斯吞并克里米亚和支持乌克兰西部地区的亲俄反叛分子行动的一部分。