乌克兰称已停止对氯气蒸馏站的VPN过滤攻击

乌克兰特勤局（SBU）今天表示，它已停止在第聂伯​​罗彼得罗夫斯克地区Aulska村的氯蒸​​馏厂使用VPNFilter恶意软件进行网络攻击。

SBU今天在一份新闻稿中说“网络攻击的延续可能导致技术流程崩溃和可能发生的崩溃，”它指责俄罗斯操作恶意软件并发动攻击。

关于网络攻击是如何展开的，SBU公告中没有包含其他技术细节。

恶意软件感染工厂的路由器

VPNFilter是针对大量路由器型号的恶意软件。这是一种模块化威胁，可以在路由器重启后继续存在，并且可以监控和拦截通过路由器的流量，并查找基于Modbus的工业SCADA设备的流量迹象。恶意软件还可以暂时阻止它感染的设备。

在SBU报告的案例中，恶意软件很可能感染了氯蒸馏站的网络设备。

这里的危险在于恶意软件能够检测到“敏感”目标并警告其操作员，操作员可以使用它在受感染组织内部进行转移并发动进一步攻击。

根据联邦调查局的说法，VPNFilter背后的团队不是你的常规僵尸网络牧民，而是一个先进的民族国家演员，被称为APT28，并被认为是俄罗斯军事情报部门的一个部门。

氯站是一个完美的目标

自从俄罗斯吞并克里米亚后于2014年开始与俄罗斯进行无声战争以来，乌克兰遭受了一连串的网络攻击，例如2015年和2016年对BlackEnergy电网的攻击，以及NotPetya和Bad Rabbit勒索软件的爆发在2017年，所有人都认为是由俄罗斯进行的。

VPNFilter应该是今年针对乌克兰的下一次巨型网络攻击，但安全公司在部署全面攻击之前发现了这个500,000强的僵尸网络。

FBI在发现后几天就接管了最初的VPNFilter僵尸网络命令和控制服务器，但是APT28 在一周后开始建立一个新的。

目前尚不清楚Aulska氯站的VPNFilter感染是故意袭击还是偶然的感染，但它会成为一个完美的攻击目标，因为乌克兰新闻媒体报道它是该国唯一的氯蒸馏站。

该工厂的氯产品在乌克兰各地用于饮用水和污水处理（氯化）。关闭工厂将导致乌克兰以前的网络攻击造成的破坏类型。

但在撰写本文时，没有证据表明这是一种恶意和精心策划的攻击。VPNFilter恶意软件通过随机扫描所有Internet IPv4地址进行传播，并且很可能是由于路由器运行易受攻击的固件而落在工厂的网络上。

尽管如此，SBU新闻稿令人震惊的语气证明了VPNFilter和后面的团队有多么危险。