疑似俄罗斯APT黑客组织“蜻蜓”入侵美国电网-CSDN博客

本文讲的是 疑似俄罗斯APT黑客组织“蜻蜓”入侵美国电网，

疑似俄罗斯APT黑客组织蜻蜓入侵美国电网

我们遭遇的下一次珍珠港事件很有可能是一次网络攻击，让我们的电力系统、电网、安全系统、金融体系和政府体系都陷入瘫痪。

——美国国防部长利昂•帕内塔（Leon Panetta）

在黑客攻击关键基础设施的年代，电力公司网络上任何恶意软件感染事件都足以引起恐慌。但现实是，这种针对电力网络的渗透活动正在进一步加剧：近日，安全公司赛门铁克警告称，一系列新的黑客攻击活动不仅能够损害美国和欧洲的能源公司，还允许攻击者获得访问电网系统的权限，进而控制美国领土上的电力系统，致使其全面停电。

近日，赛门铁克公司揭示了一个新的攻击组织活动，并将其称之为“蜻蜓2.0”（Dragonfly 2.0），据悉，该组织在今年春天和夏天已经针对数十家能源公司实施攻击活动。赛门铁克表示，在超过20个攻击案例中，黑客都已经成功入侵了目标企业的网络。而在针对少数几家美国电力公司和至少一家土耳其公司的攻击活动中，赛门铁克取证分析专家发现，黑客还获得了所谓的“操作访问权限”：即控制电力公司工程师用来发送实际命令的接口，使其有能力控制美国家庭和企业的电力流。

赛门铁克安全分析师Eric Chien指出，从没有黑客组织已经表明具备控制美国电力公司系统的能力。唯一可以比较的情况就是乌克兰国家发生的电网攻击事件，这算是已知的由黑客攻击造成的大面积停电事件。

更新换代的“蜻蜓”组织

其实在乌克兰电网事件中，像FireEye和Dragos这样的安全公司都已经将嫌疑人锁定为“沙虫”（Sandworm）黑客小组，并坚称其来自俄罗斯。但是Chien却表示，赛门铁克公司并未发现“沙虫”组织与入侵活动之间存在联系。所以，其实一开始，赛门铁克也没有直接将针对美国电力公司的一系列攻击活动（包括研究人员在7月份发现的针对堪萨斯核设施进行攻击的俄罗斯黑客组织Palmetto Fusion）与“Dragonfly 2.0”联系到一起。

但是很快地，Chien注意到，Palmetto Fusion黑客组织的攻击时间线（Dragonfly被发现后在2014年末突然消失，“Palmetto Fusion”则在2015年初始开启攻击）和描述与发现的“蜻蜓”组织存在吻合之处。Chien表示，

这不太可能是一个偶然，虽然Palmetto Fusion入侵的是核电厂，而赛门铁克追踪到Dragonfly的入侵目标只是非核能公司，但是其对联网的IT网络和操作访问的控制并没有明显区分。

不过，对于这种猜测也有质疑的声音，CrowdStrike情报副总裁梅耶就曾称，两个组织的具体工具或技术上无一重合，暗示“Palmetto Fusion”行动或许是另一组织的工作。此外，思科的Talos研究小组也发现，“Palmetto Fusion”组织使用了网络钓鱼和微软“服务器消息块（SMB）”协议漏洞利用来收割受害者凭证——该技术在Dragonfly之前的行动中从未出现过。

为了介绍这一新发现的入侵活动，赛门铁克决定将其称为“Dragonfly2.0”。其实，“蜻蜓”（Dragonfly），也有些安全厂商管它叫“能量熊”（Energetic Bear）组织，从可监测到的记录来看，是从2011年开始活跃的团伙，在2013年初转向攻击欧美的能源企业之前，“蜻蜓”之前的目标主要是美国和加拿大的军工和航空业的企业。

而该“Dragonfly 2.0”组织则至少是自2015年12月以来，便一直针对能源公司实施攻击活动，且到了2017年上半年，其针对美国、土耳其以及瑞士的攻击活动开始呈现大幅增长的趋势。

通过对这些攻击行为进行分析后发现，他们主要通过网络钓鱼电子邮件来诱骗受害者点击恶意附件——最早发现的是一封有关除夕晚会的伪造邀请函；或是利用所谓的“水坑攻击”（watering hole attacks），破坏目标习惯访问的网站来攻击受害者的电脑。

在过去，“蜻蜓”组织对电网公司的攻击主要是专注于信息收集和了解能源设施是如何运作的。然而随着新的攻击技能和工具的更新换代，该新型黑客组织似乎正使用这些知识，尝试并取得进入操作系统的机会，以便破坏它们。

在最近的成功案例中（包括针对美国和土耳其的一些电力公司的攻击），赛门铁克认为，攻击者目前的渗透能力已经足以截获实际的控制面板，操纵电力系统的操作，从而展示其破坏电网的能力。赛门铁克研究人员表示，