俄羅斯黑客組織「蜻蜓」插入美國電網

摘要

安全公司賽門鐵克稱，近來，一個俄羅斯黑客組織使用一種複雜的網路武器，已經使1000多家歐洲和北美能源公司受損，與震網相似，這種網路武器可以使黑客們訪問到能源部門的控制系統。該黑客組織也被稱為「蜻蜓」，自2011年起便開始活躍的東歐黑客團體，並且自從2013年就一直使用釣魚網站和木馬對美國和其他一些國家的能源供應商組織實施攻擊。

最近針對能源部門的攻擊表明，蜻蜓黑客組織已經可以使用電腦控制操作系統。針對美國能源行業對網路攻擊的脆弱性的擔憂再次浮出水面，本周安全公司賽門鐵克發出了不祥的警告，稱威脅行為者（網路黑客）獲得了潛在地訪問並破壞關鍵的控制系統的能力。

在一份報告中，賽門鐵克公司指出它有證據顯示，此前被稱為「蜻蜓」的組織，一直在針對美國、土耳其和瑞士的能源行業實施了一連串的網路攻擊。

蜻蜓又被叫做「充滿活力的熊的俄羅斯黑客組織」，自2011年以來，它一直與世界各地數百起的工業、製造業、製藥、教育和建築行業的組織的遭遇網路襲擊有關。自2015年12月以來，一直有針對能源公司的襲擊活動，並且它似乎是為了能夠進入電網運行的系統而設計的。賽門鐵克公司認為，現有的證據表明入侵者已經控制了能夠完全訪問這樣的操作系統的計算機，從而他們有在未來破壞電網的能力。最近的一波襲擊表明，蜻蜓集團已經進入了第二階段並且在其操作中明顯會產生更多的危險的階段。

在過去，蜻蜓黑客組織對電網公司的攻擊似乎是專註於信息收集和了解能源設施是如何運作的。然而隨著新的攻擊，賽門鐵克公司已經把它命名為蜻蜓2.0，該黑客組織似乎正使用這些知識，嘗試並取得進入操作系統的機會，以便破壞它們。

最初蜻蜓黑客組織的活動似乎本質上一直是探索性的，然而賽門鐵克公司的高級威脅情報分析員約翰.迪馬焦奧指出，新一波的攻擊似乎集中於收集情報和獲取進入操作系統的機會上。

迪馬焦奧說：「如此多的信息對一個造成與能源有關的犧牲品的攻擊者來說是有用的，如果不是為了經濟上獲利或盜取了知識產權，那麼攻擊者的訪問很可能是為了提供一個戰略或軍事優勢。而關掉電源就能獲得此結果」。

近年來，把關鍵基礎設施當作目標的網路攻擊一直是一個備受關注的問題。2012年，震網病毒對伊朗在納坦茲的鈾濃縮設施的攻擊，是第一個展示惡意軟體如何被用來對關鍵的控制設備造成巨大的物理性破壞的例子。

當一系列的網路攻擊造成在烏克蘭發生了大面積的停電的時候，這些問題在2015年末和2016年12月再次成為了焦點。一些能源供應商把2015年的攻擊歸咎於一個俄羅斯的黑客組織「沙蟲」，它被認為是感染了一個國家的發電廠系統的病毒，帶有通過BlackEnergy木馬病毒給予的一個磁碟擦除工具。

今年早些時候，ESET（它是總部位於斯洛伐克布拉迪斯拉發的一家世界知名的電腦安全軟體公司）和Dragos公司的安全研究人員確定了被用於2016年烏克蘭襲擊事件中的被叫做Industroyer或CrashOverride的惡意軟體。該惡意軟體是被一個他們叫做「ELECTRUM」的威脅組織開發的。

兩家公司描述了通過利用工業控制系統中廣泛使用的通信協議，該定製的惡意軟體是旨在破壞電網的運行。只要系統使用了這個脆弱的協議，惡意軟體就能夠對來自任何廠家的設備進行破壞。

與之前被用在以前的攻擊活動中的複雜的惡意軟體形成鮮明對比的是，在蜻蜓2.0攻擊中使用的惡意軟體是更加普通的工具，黑客似乎是故意選擇了這樣的工具，以避免引起注意和歸因。

迪馬焦奧說：「攻擊者被發現使用非常普通的工具，以避免被發現並且使用多種公開可用的工具和資源，讓發覺這次的攻擊活動比以往更加的困難」。這樣的工具的例子包括PowerShell、Bitsadmin以及PsExec。他還補充道，在某些情況下，攻擊者還使用Flash更新和Windows應用程序的Trojanized版本（例如MS Calc、Crash Reporter和TCPview）來提供後門並利用其他的惡意軟體。傳播惡意軟體的典型方法包括魚叉式網路釣魚電子郵件和水坑式攻擊。

到目前為止，賽門鐵克公司並沒有發現在蜻蜓2.0攻擊活動中使用了任何零日漏洞或其他漏洞。在攻擊中使用的惡意軟體中的一些代碼字元串是俄文的，而另一些則是法文的。安全廠商認為，這表明該組織有意不讓安全研究人員知道它的發源地。

Claroty公司的創辦人加利納.安托瓦認為關於「蜻蜓2.0」攻擊活動背後的俄羅斯黑客的報道是可信的。安托瓦說：「這個敵人已經對烏克蘭的電網發動了兩次攻擊了，兩次攻擊分別發生在2015年12月和2016年12月。除了對烏克蘭造成傷害之外，這些攻擊很可能也是攻擊者進行的訓練，這些攻擊者正在練習他們的諜報技術並構建惡意軟體工具，這些工具可以稍後用於攻擊其他的目標」。與此同時，獲得進入控制系統的機會是很容易的部分。安托瓦說：「為了造成實際的破壞，比如關掉控制功率流的斷路器，黑客必須具備特定的控制系統知識」。

然而像沙蟲這樣的黑客組織已經展示了他們在烏克蘭進行網路攻擊的熟練程度，安托瓦說：「對美國電網造成大規模連鎖故障要困難得多，並且需要有關於安全系統和彈性控制的知識」。然而，造成大面積破壞的一個攻擊並不是不可能發生的。

Positive Technologies公司網路安全彈性領導利安妮.加洛韋透露，她的公司在年度安全會議上有一個SCADA（數據採集與監視控制系統）演示台，以前在那裡已經向人們展示了攻擊控制系統是多麼的容易。加洛韋說：「以我們的經驗來看，大多數像能源公司這樣的基礎設施提供商並沒有做好應對網路攻擊的準備。他們沒有必要的監控工具，也沒有針對他們的基礎設施進行定期的檢測」。

-END-

本文由網安視界（網路空間安全情報站和智庫）獨家創作整理，轉載請註明出處。