賽門鐵克的研究人員周三警告稱,國家支持型黑客已經(jīng)滲透了美國和歐洲多家能源公司控制電網(wǎng)關(guān)鍵部分的運營網(wǎng)絡(luò)。
黑客組織“蜻蜓”瞄準歐美能源企業(yè)賽門鐵克檢測的入侵事件說明,黑客組織“蜻蜓”的攻擊升級。至少自2011年以來,“蜻蜓”一直針對美國和歐洲能源企業(yè)發(fā)起攻擊。
2014年,賽門鐵克報告稱,“蜻蜓”在有限的目標網(wǎng)站中積極建立“灘頭陣地”,主要竊取用來限制驗證用戶訪問權(quán)的用戶名和密碼。過去一年,這支黑客組織設(shè)法攻擊十幾家能源公司,在部分高度敏感的供電網(wǎng)絡(luò)中安裝后門。
“運營網(wǎng)絡(luò)”安全值得關(guān)注賽門鐵克安全響應(yīng)與技術(shù)部門的技術(shù)總監(jiān)埃里克·錢(Eric Chien)表示,最令人擔心的是,這幫黑客團伙入侵能源公司的運營網(wǎng)絡(luò),甚至可能潛伏在這些網(wǎng)絡(luò)中,而不需要跨越技術(shù)障礙。
這種現(xiàn)象令人不安,因為運營網(wǎng)絡(luò)(或能源行業(yè)的電子安全邊界)通常會對電網(wǎng)的穩(wěn)定性產(chǎn)生巨大的影響力。“2003年美加大”停電事件就是因為實時追蹤電網(wǎng)安全狀態(tài)的運營網(wǎng)站出現(xiàn)系統(tǒng)故障,當時5500萬用戶供電的電網(wǎng)被關(guān)閉。
控制企業(yè)運營網(wǎng)絡(luò)的攻擊者可能會利用運營網(wǎng)絡(luò)成為公司能源資產(chǎn)的實際經(jīng)營者,可以采取的控制措施包括開啟或關(guān)閉企業(yè)基礎(chǔ)設(shè)施斷路器,并劫持監(jiān)控電網(wǎng)安全狀態(tài)的系統(tǒng)。更有更令人不安的情境:攻擊者還可能控制多個電網(wǎng)連接的運營系統(tǒng),制造各類故障,最終釀成類似2003年美加大停電的這類事件。
賽門鐵克發(fā)布工具供能源企業(yè)自檢錢表示,賽門鐵克最近向100余家能源公司和組織機構(gòu)發(fā)出警告,包括北美電力可靠性協(xié)會(簡稱NARC)和美國國土安全部(簡稱DHS)。
周三,賽門鐵克在官方博客發(fā)出公開警告并強調(diào),從被感染網(wǎng)絡(luò)簡單移除惡意軟件不足以打擊這類威脅,因為在許多情況下,這群攻擊者手上掌握著重新控制網(wǎng)絡(luò)必需的登錄憑證和其它數(shù)據(jù)。賽門鐵克周三發(fā)布的報告提供了能源公司可能用來判斷網(wǎng)絡(luò)是否遭遇攻擊的指示器(Indicator),包括使用隨機長密碼。
“蜻蜓”攻擊模式有何特點?2015年12月,烏克蘭配電中心發(fā)生黑客攻擊,停電長達6個小時,22.5萬用戶受到影響。這是全球首起已知的真實電網(wǎng)攻擊事件。一年之后,烏克蘭電力傳輸設(shè)施遭遇黑客攻擊,基輔地區(qū)停電約一小時。研究人員認為這起攻擊的幕后黑手是“Sandworm”黑客組織。
手動控制斷路器?2015年發(fā)生的這起黑客攻擊中,Sandworm使用修改版的BlackEnergy工具入侵目標電力公司的企業(yè)網(wǎng)絡(luò),收集密碼和其它數(shù)據(jù)滲透生成并傳輸電力的管理控制和數(shù)據(jù)采集系統(tǒng)。2016年,Sandworm帶著新款惡意軟件“Crash Override”再現(xiàn)江湖。這款自定義惡意軟件專門用來攻擊電網(wǎng)系統(tǒng)。
比較而言,“蜻蜓”使用的工具完全不同。Chien認為這兩個黑客組織是完全獨立的。“蜻蜓”2013年、2014年以及最近的攻擊只依賴后門和遠程訪問木馬(RAT)。由此可見,“蜻蜓”也許會使用運營網(wǎng)絡(luò)的訪問權(quán)手動控制斷路器。“蜻蜓”也有可能會部署新惡意軟件如Crash Override般自動運行功能。
不同的電網(wǎng)不同的攻擊策略Dragos Security創(chuàng)始人兼首席執(zhí)行官羅伯特·李表示,“蜻蜓”控制人機接口(控制開關(guān)、打開關(guān)閉斷路器)不止需要一種能力。李表示,雖然效仿2015年烏克蘭電網(wǎng)的技術(shù)可能會奏效,但他指出,美國電網(wǎng)不同,這些策略或許不見得有效。
錢表示:由于美國的電網(wǎng)規(guī)模龐大,手動攻擊比烏克蘭困難得多。為了達到效果,可能需要人為“扳動開關(guān)”,部署“破壞”設(shè)備等,但研究人員認為這樣做不存在任何技術(shù)障礙。在這種情況下,攻擊者需要必要的訪問權(quán)。
發(fā)現(xiàn) “crashoverride v2”時已為時已晚,因為這意味著惡意軟件已經(jīng)部署,只等待特定的政治目的(原因)去觸發(fā)攻擊。、
“蜻蜓”結(jié)合多種策略感染目標:
使用公開可用的Phishery工具向目標發(fā)送Word文檔,該文檔會從黑客控制的服務(wù)器下載模板,這個服務(wù)器之后會查詢下載電腦獲取許多企業(yè)網(wǎng)絡(luò)用來限制訪問驗證用戶的SMB憑證。許多情況下,下載電腦會響應(yīng),并在該過程中為攻擊者提供目標網(wǎng)絡(luò)的用戶名和加密哈希。Cisco Systems的研究人員7月描述了所謂的模板注入攻擊。一旦使用密碼入侵公司網(wǎng)絡(luò),之后“蜻蜓”就會滲透到運營網(wǎng)絡(luò)。
“蜻蜓”使用的另外一種感染技術(shù)依賴“水坑式攻擊”,攻擊者在其中感染能源公司工作人員經(jīng)常訪問的網(wǎng)站。當目標訪問陷阱網(wǎng)站時,“蜻蜓”黑客成員之后會感染目標。
“蜻蜓”還私用虛假的Adobe Flash的更新安裝后門。
“蜻蜓”究竟是誰?“蜻蜓”黑客組織相當神秘,無人了解他們的身份。該黑客組織在代碼中嵌入的文本字符串包含俄語和法語,其成員也許是故意混淆歸因。
研究人員在“蜻蜓”早前攻擊活動中發(fā)現(xiàn)的惡意軟件表明,該組織大多遵循東歐作息周一至周五,朝九晚六的工作時間。在最近的攻擊活動中,“蜻蜓”惡意軟件中的時間戳也大致相同,但數(shù)據(jù)有限尚不能定論。
“蜻蜓”使用公開可用的惡意軟件和管理工具,例如PowerShell、PsExec和Bitsadmin也加大了歸因難度。
賽門鐵克研究人員在周三發(fā)布的報告中寫到,“蜻蜓”有能力攻擊大量組織機構(gòu)、竊取信息并訪問關(guān)鍵系統(tǒng),無疑是經(jīng)驗豐富的威脅攻擊者。
“蜻蜓”很可能屬于俄羅斯黑客組織。
京公網(wǎng)安備 11010502049343號