最近针对能源行业的攻击表明,“蜻蜓”组织能够访问控制运营系统的计算机。人们对于美国能源行业面临网络攻击时的脆弱性一直存在担忧,本周,这种担忧再度升温,原因是安全公司赛门铁克警告称,威胁源起方已有能力访问并破坏关键控制系统。
蜻蜓组织正在攻击多国能源行业
在一份报告中 ,赛门铁克称已有证据表明,“蜻蜓”组织针对美国、土耳其和瑞士等国的能源行业发动了一系列的网络攻击。“蜻蜓”又被称为俄罗斯的“活力熊”,最早于2011年开始活动,与全球各地发生的针对工业、制造业、制药业、教育和建筑行业内组织的数百起攻击脱不了干系。
据赛门铁克分析,攻击最早自2015年12月起,看似企图获取电网运营系统的访问权限。现有证据表明,入侵者已控制了对此类运营系统具有完全访问权限的计算机,因而未来有能力中断电网运营。最近一波的攻击显示,“蜻蜓”团队已经进入到行动的第二阶段,显然也是更危险的阶段。
过去,“蜻蜓”对于电力公司的攻击主要是为了搜集信息,了解能源设施的运营方式。在新一波的攻击中(赛门铁克称之为“蜻蜓2.0”),该团队似乎在利用所获信息尝试进入并破坏运营系统。
赛门铁克安全响应高级威胁情报分析师Jon DiMaggio表示,最初的“蜻蜓”攻击似为探索性质,而新一轮攻击看似聚焦于情报搜集并入侵运营系统。DiMaggio认为,
“要攻击能源行业公司,攻击者必须搜集大量信息。攻击者入侵若不是为了获取经济利益或窃取知识产权,那就有可能是为了创造战略或军事优势,而切断电源恰好可以做到这一点。”
针对关键基础设施的攻击呈规模化趋势
近几年,针对 关键基础设施 的网络攻击成了一个主要隐忧。2012年,伊朗纳坦兹的铀浓缩设施遭遇了 震网病毒 攻击,第一次让人们发现 恶意软件 被利用后竟能对关键控制设备造成如此巨大的破坏。
人们的担忧在2015年底再度燃起,一年后, 即2016年12月,乌克兰发生了一连串的网络攻击 ,造成大范围的电力中断。有些厂商认为2015年的攻击由俄罗斯的攻击者“沙虫”(Sandworm)发起,据信,“沙虫”利用通过 BlackEnergy 木马传播的磁盘清除工具感染了该国一个电厂的系统。
今年早些时候,ESET和Dragos的安全研究人员分别将2016年乌克兰攻击中使用的恶意软件命名为 Industroyer 和CrashOverride,该恶意软件由ELECTRUM威胁团体开发。
两家公司都认为恶意软件经过定制,利用了工业控制系统中广泛使用的通信协议,专门用于破坏电网运营。只要系统使用了有漏洞的协议,该恶意软件就能攻击任意厂商设备。
相比之前的攻击 蜻蜓2.0攻击更为隐蔽
相较于之前攻击中所使用的复杂恶意软件,蜻蜓2.0攻击使用的恶意软件很普通,目的似乎是为了不引起注意,防止被溯源。DiMaggio注意到,
“攻击者手段简单,以避免检测,并使用了多款公开可用的工具(包括PowerShell、Bitsadmin和PsExec)和资源,比之前攻击更难检测。”
他补充道,在某些情况下,攻击者还利用Flash更新和植入木马的Windows应用(如MS Calc、Crash Reporter、TCPview等)传播后门和恶意软件。传播恶意软件的典型方法包括 鱼叉式 钓鱼邮件和 水坑攻击 。
迄今,赛门铁克还未发现蜻蜓2.0攻击中使用任何零日漏洞或利用程序。赛门铁克发现,攻击使用的恶意软件中的代码串有些来自俄罗斯,有些来自法国,说明黑客团队故意迷惑安全研究人员,让其无法确定源头。Claroty联合创始人Galina Antova认为,蜻蜓2.0攻击的始作俑者为俄罗斯人,这个说法相当可靠。Antova说:
“攻击者在2015年和2016年12月已经两次攻下乌克兰电网,除了祸害乌克兰,攻击者还可能想利用这些攻击练手,演习自己的攻击技巧,构建恶意软件工具,以便今后用于攻击其他目标。”
Antova还说,获取控制系统的访问权是很容易做到的。
“要造成实际伤害(例如,关掉控制电流的断路器),需要有一定的控制系统知识。”
“沙虫”之类的组织已通过乌克兰攻击展示了其能力,
“而对美国电网造成大规模的连锁故障则要困难得多,需要了解所部署的安全系统和弹性控制措施。但造成大规模破坏的攻击也并非不可能。”
原文发布时间:2017年9月8日
本文由:darkreading发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/dragonfly-apt-attacked
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
9393
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
