自從媒體開始報道有黑客針對十幾家美國能源公共事業發起攻擊,其中包括一家堪薩斯核電廠,網絡安全社區就在挖掘周邊證據已確定案犯。因為不知道具體案犯身份,這些黑客活動有多種可能性:逐利網絡犯罪陰謀、間諜活動,或者類似造成烏克蘭大停電的那種黑客行動的前期試探性攻擊?
上周末,美國官員好歹解開了部分謎題,向《華盛頓郵報》透露稱,能源公共事業攻擊背后的黑客為俄羅斯政府服務。但該歸因引發了另一問題:攻擊電網的到底是俄羅斯哪一個黑客組織呢?
畢竟,俄羅斯可能是全球唯一一個,有多個知名黑客團隊數年來對能源公共事業下手的國家。每個團隊都有各自獨特的技術、寬泛的目標范圍和動機——而解密這些攻擊背后的組織,可輔助確定這最近一次基礎設施黑客攻擊大爆發的預期結局。
隨著網絡安全世界的蘇聯問題專家對答案的探尋,我們對可能發起這些攻擊的組織也有所了解。
一、能量熊(Energetic Bear)
俄羅斯黑客團隊序列中的主要候選人,是被稱為“能量熊”的一組網絡間諜,該組織的其他花名還有:蜻蜓(DragonFly)、考拉(Kaola)、鋼鐵自由( Iron Liberty )。其最先是由安全公司CrowdStrike在2014年發現的,該組織最初似乎是從2010年開始不加選擇地攻擊幾十個國家的數百個目標,用的是所謂“水坑”攻擊,感染網站,植入Havex木馬到訪問者主機中。
很快,安全社區就發現這伙黑客有著更具體的側重點:他們還用網絡釣魚郵件針對工業控制軟件廠商,將Havex偷偷植入到客戶下載中。安全公司火眼在2014年發現,該組織至少攻破了4家工控目標,可能掌握了從電網系統到制造工廠一切事物的訪問權。
CrowdStrike情報副總裁亞當·梅耶稱,該組織至少部分聚焦在對油氣行業的大范圍監視上。從天然氣生產商,到往能源金融公司運送液態天然氣和石油的公司,都在“能量熊”的目標范圍內。
CrowdStrike還發現,該組織所有代碼中含有俄語證據,而且是按莫斯科正常工作時間運作的。所有這些都表明,俄羅斯政府可能利用了該組織來保護其石油化工行業,并更好地行使其作為能源供應商的權力。“如果你威脅要切斷通往某國的天然氣供應,你想要知道該威脅到底有多嚴重,以及如何有效利用這一點。”
但安全公司指出,該組織的目標也包含有電力公共事業,“能量熊”的某些惡意軟件具備掃描工業網絡中基礎設施設備的能力,提升了其不僅僅收集行業情報,也為未來破壞性攻擊執行偵察的可能性。火眼某研究團隊負責人約翰·霍特奎斯特說:“我們認為他們的目標是控制系統,而且我們不認為這背后有什么令人信服的情報原因。做這個又不是為了了解天然氣價格。”
2014年夏天,在CrowdStrike、賽門鐵克和其他安全公司發布了關于“能量熊”基礎設施攻擊的一系列分析后,該組織突然消失了。
二、沙蟲(Sandworm)
只有一個俄羅斯黑客組織真正引發了現實世界的停電:網絡安全分析師廣泛認為,該名為“沙蟲(Sandworm)”,也稱為“伏都熊( Voodoo Bear )”和“電信僵尸(Telebots)”的黑客團隊,一手導演了2015和2016年冬的烏克蘭電力設施攻擊,這些攻擊使得成千上萬戶家庭在寒冬斷電。
盡管有此獨特區別,“沙蟲”更廣泛的目標似乎并非電力公共事業或能源產業。相反,它花了過去3年時間專門攻擊烏克蘭,也就是自2014年入侵了克里米亞半島后與俄羅斯進入戰爭狀態的國家。除了這兩次斷電攻擊,該組織自2015年來幾乎肆虐了烏克蘭社會的每一個行業,摧毀了媒體公司的數百臺電腦,刪除或永久加密了烏克蘭政府機構TB級數據,癱瘓了包括烏克蘭鐵路售票系統在內的基礎設施。
火眼和ESET等安全公司的網絡安全研究人員還指出,最近致癱烏克蘭和世界各國數千網絡的NotPetya勒索軟件大流行,同樣符合“沙蟲”用不帶解密選項的“虛假”勒索軟件感染受害者的歷史。
但在所有這些混亂當中,“沙蟲”還是顯露出了對電網的特殊興趣。火眼將該組織與2014年發現的一系列對美國能源公共事業的入侵聯系在一起,這些入侵中使用的“黑色能量( Black Energy )”惡意軟件,與“沙蟲”隨后在烏克蘭斷電攻擊中使用的相同。
此外,火眼還基于在一臺該組織C2服務器上發現的俄語文檔,該組織所用的俄羅斯黑客大會上展示的一個零日漏洞,以及其非常明確的烏克蘭攻擊點,斷定“沙蟲”與俄羅斯政府有關。
上月,安全公司ESET和Dragos發布了分析報告,關于被他們稱為“崩潰覆蓋( Crash Override )”或“工業摧毀者(Industroyer)”的惡意軟件。這是一段高度復雜、自適應、自動化電網摧毀的代碼,是“沙蟲”在2016年對烏克蘭國家能源公司Ukrenergo旗下一個輸電站攻擊致其停電所用的惡意軟件。
三、棕櫚融合(Palmetto Fusion)
近期針對美國能源公共事業的入侵嘗試,其背后的黑客組織遠比“能量熊”或“沙蟲”要神秘得多。該組織自2015年開始便用“水坑”和網絡釣魚攻擊襲擊能源公共事業,除了最近報道的美國能源公司,目標還遠及愛爾蘭和土耳其。但盡管與“能量熊”有很多相似性,網絡安全分析師尚不能明確地將該小組與其他已知俄羅斯電網黑客團隊聯系在一起。
尤其是“沙蟲”,看起來似乎是最不可能匹配的。火眼分析師霍特奎斯特指出,他手下的研究人員連續追蹤了“沙蟲”和該新組織多年了,但從未見過其行動中有什么共同技術或基礎設施。《華盛頓郵報》報道,美國官方認為“棕櫚融合”是俄羅斯聯邦安全局的一項行動。有些研究人員認為,“沙蟲”是在俄羅斯聯邦軍隊總參謀部情報總局(GRU)支持下工作的,因為其目標專注在俄羅斯的軍事敵人烏克蘭身上,其早期目標也是北約組織和軍事機構。
“棕櫚融合”與“能量熊”的掌印也并非完全重合,雖然《紐約時報》的報道姑且將二者聯系在了一起。雖然二者都針對能源產業,使用網絡釣魚和水坑攻擊,CrowdStrike情報副總裁梅耶卻稱,具體工具或技術上二者無一重合,暗示“棕櫚融合”行動或許是另一組織的工作。思科的Talos研究小組發現,該新團隊使用了網絡釣魚和微軟“服務器消息塊(SMB)”協議漏洞利用來收割受害者憑證——該技術在“能量熊”的行動中從未出現過。
但“能量熊”被發現后在2014年末的突然消失,與“棕櫚融合”在2015年初始攻擊的開啟,在時間節點上的銜接依然令人生疑。該時間線可能昭示著這兩個組織其實就是同一個,只不過重新編譯了新工具和技術以避免明顯的關聯。
畢竟,像“能量熊”那么系統性和高產的黑客組織,不會在被曝光后就那么簡單地洗手不干了。安全公司SecureWorks同樣緊密跟蹤“能量熊”,其安全研究員湯姆·芬妮稱:“國家情報機構才不會因這么個小挫折就放棄。我們曾推測他們會在某個時間點復出。這或許就是。”
京公網安備 11010502049343號