蜻蜓组织正在攻击多国能源行业 能控制运营系统计算机且更为隐蔽

最近针对能源行业的攻击表明,“蜻蜓”组织能够访问控制运营系统的计算机。人们对于美国能源行业面临网络攻击时的脆弱性一直存在担忧,本周,这种担忧再度升温,原因是安全公司赛门铁克警告称,威胁源起方已有能力访问并破坏关键控制系统。

蜻蜓组织正在攻击多国能源行业

在一份报告中,赛门铁克称已有证据表明,“蜻蜓”组织针对美国、土耳其和瑞士等国的能源行业发动了一系列的网络攻击。“蜻蜓”又被称为俄罗斯的“活力熊”,最早于2011年开始活动,与全球各地发生的针对工业、制造业、制药业、教育和建筑行业内组织的数百起攻击脱不了干系。

据赛门铁克分析,攻击最早自2015年12月起,看似企图获取电网运营系统的访问权限。现有证据表明,入侵者已控制了对此类运营系统具有完全访问权限的计算机,因而未来有能力中断电网运营。最近一波的攻击显示,“蜻蜓”团队已经进入到行动的第二阶段,显然也是更危险的阶段。

过去,“蜻蜓”对于电力公司的攻击主要是为了搜集信息,了解能源设施的运营方式。在新一波的攻击中(赛门铁克称之为“蜻蜓2.0”),该团队似乎在利用所获信息尝试进入并破坏运营系统。

赛门铁克安全响应高级威胁情报分析师Jon DiMaggio表示,最初的“蜻蜓”攻击似为探索性质,而新一轮攻击看似聚焦于情报搜集并入侵运营系统。DiMaggio认为,

“要攻击能源行业公司,攻击者必须搜集大量信息。攻击者入侵若不是为了获取经济利益或窃取知识产权,那就有可能是为了创造战略或军事优势,而切断电源恰好可以做到这一点。”

针对关键基础设施的攻击呈规模化趋势

近几年,针对关键基础设施的网络攻击成了一个主要隐忧。2012年,伊朗纳坦兹的铀浓缩设施遭遇了震网病毒攻击,第一次让人们发现恶意软件被利用后竟能对关键控制设备造成如此巨大的破坏。

人们的担忧在2015年底再度燃起,一年后,即2016年12月,乌克兰发生了一连串的网络攻击,造成大范围的电力中断。有些厂商认为2015年的攻击由俄罗斯的攻击者“沙虫”(Sandworm)发起,据信,“沙虫”利用通过BlackEnergy木马传播的磁盘清除工具感染了该国一个电厂的系统。

今年早些时候,ESET和Dragos的安全研究人员分别将2016年乌克兰攻击中使用的恶意软件命名为Industroyer和CrashOverride,该恶意软件由ELECTRUM威胁团体开发。

两家公司都认为恶意软件经过定制,利用了工业控制系统中广泛使用的通信协议,专门用于破坏电网运营。只要系统使用了有漏洞的协议,该恶意软件就能攻击任意厂商设备。

相比之前的攻击 蜻蜓2.0攻击更为隐蔽

相较于之前攻击中所使用的复杂恶意软件,蜻蜓2.0攻击使用的恶意软件很普通,目的似乎是为了不引起注意,防止被溯源。DiMaggio注意到,

“攻击者手段简单,以避免检测,并使用了多款公开可用的工具(包括PowerShell、Bitsadmin和PsExec)和资源,比之前攻击更难检测。”

他补充道,在某些情况下,攻击者还利用Flash更新和植入木马的Windows应用(如MS Calc、Crash Reporter、TCPview等)传播后门和恶意软件。传播恶意软件的典型方法包括鱼叉式钓鱼邮件和水坑攻击

迄今,赛门铁克还未发现蜻蜓2.0攻击中使用任何零日漏洞或利用程序。赛门铁克发现,攻击使用的恶意软件中的代码串有些来自俄罗斯,有些来自法国,说明黑客团队故意迷惑安全研究人员,让其无法确定源头。Claroty联合创始人Galina Antova认为,蜻蜓2.0攻击的始作俑者为俄罗斯人,这个说法相当可靠。Antova说:

“攻击者在2015年和2016年12月已经两次攻下乌克兰电网,除了祸害乌克兰,攻击者还可能想利用这些攻击练手,演习自己的攻击技巧,构建恶意软件工具,以便今后用于攻击其他目标。”

Antova还说,获取控制系统的访问权是很容易做到的。

“要造成实际伤害(例如,关掉控制电流的断路器),需要有一定的控制系统知识。”

“沙虫”之类的组织已通过乌克兰攻击展示了其能力,

“而对美国电网造成大规模的连锁故障则要困难得多,需要了解所部署的安全系统和弹性控制措施。但造成大规模破坏的攻击也并非不可能。”

发表评论