新闻快讯
< >

渗透美国和欧洲电网后,俄罗斯黑客组织“蜻蜓”埋伏以待

E安全9月8日文 赛门铁克的研究人员周三警告称,国家支持型黑客已经渗透了美国和欧洲多家能源公司控制电网关键部分的运营网络。

黑客组织“蜻蜓”瞄准欧美能源企业

赛门铁克检测的入侵事件说明,黑客组织“蜻蜓”的攻击升级。至少自2011年以来,“蜻蜓”一直针对美国和欧洲能源企业发起攻击。

2014年,赛门铁克报告称,“蜻蜓”在有限的目标网站中积极建立“滩头阵地”,主要窃取用来限制验证用户访问权的用户名和密码。过去一年,这支黑客组织设法攻击十几家能源公司,在部分高度敏感的供电网络中安装后门。

“运营网络”安全值得关注

赛门铁克安全响应与技术部门的技术总监埃里克·钱(Eric Chien)表示,最令人担心的是,这帮黑客团伙入侵能源公司的运营网络,甚至可能潜伏在这些网络中,而不需要跨越技术障碍。

!!!!渗透美国和欧洲电网后 俄罗斯黑客组织“蜻蜓”埋伏以待-E安全

这种现象令人不安,因为运营网络(或能源行业的电子安全边界)通常会对电网的稳定性产生巨大的影响力。“2003年美加大”停电事件就是因为实时追踪电网安全状态的运营网站出现系统故障,当时5500万用户供电的电网被关闭。

控制企业运营网络的攻击者可能会利用运营网络成为公司能源资产的实际经营者,可以采取的控制措施包括开启或关闭企业基础设施断路器,并劫持监控电网安全状态的系统。更有更令人不安的情境:攻击者还可能控制多个电网连接的运营系统,制造各类故障,最终酿成类似2003年美加大停电的这类事件。

赛门铁克发布工具供能源企业自检

钱表示,赛门铁克最近向100余家能源公司和组织机构发出警告,包括北美电力可靠性协会(简称NARC)和美国国土安全部(简称DHS)。

周三,赛门铁克在官方博客发出公开警告并强调,从被感染网络简单移除恶意软件不足以打击这类威胁,因为在许多情况下,这群攻击者手上掌握着重新控制网络必需的登录凭证和其它数据。赛门铁克周三发布的报告提供了能源公司可能用来判断网络是否遭遇攻击的指示器(Indicator),包括使用随机长密码。

“蜻蜓”攻击模式有何特点?

2015年12月,乌克兰配电中心发生黑客攻击,停电长达6个小时,22.5万用户受到影响。这是全球首起已知的真实电网攻击事件。一年之后,乌克兰电力传输设施遭遇黑客攻击,基辅地区停电约一小时。研究人员认为这起攻击的幕后黑手是“Sandworm”黑客组织。

手动控制断路器?

2015年发生的这起黑客攻击中,Sandworm使用修改版的BlackEnergy工具入侵目标电力公司的企业网络,收集密码和其它数据渗透生成并传输电力的管理控制和数据采集系统。2016年,Sandworm带着新款恶意软件“Crash Override”再现江湖。这款自定义恶意软件专门用来攻击电网系统。

比较而言,“蜻蜓”使用的工具完全不同。Chien认为这两个黑客组织是完全独立的。“蜻蜓”2013年、2014年以及最近的攻击只依赖后门和远程访问木马(RAT)。由此可见,“蜻蜓”也许会使用运营网络的访问权手动控制断路器。“蜻蜓”也有可能会部署新恶意软件如Crash Override般自动运行功能。

不同的电网不同的攻击策略

Dragos Security创始人兼首席执行官罗伯特·李表示,“蜻蜓”控制人机接口(控制开关、打开关闭断路器)不止需要一种能力。李表示,虽然效仿2015年乌克兰电网的技术可能会奏效,但他指出,美国电网不同,这些策略或许不见得有效。

!!!!渗透美国和欧洲电网后 俄罗斯黑客组织“蜻蜓”埋伏以待-E安全

钱表示:由于美国的电网规模庞大,手动攻击比乌克兰困难得多。为了达到效果,可能需要人为“扳动开关”,部署“破坏”设备等,但研究人员认为这样做不存在任何技术障碍。在这种情况下,攻击者需要必要的访问权。

发现 “crashoverride v2”时已为时已晚,因为这意味着恶意软件已经部署,只等待特定的政治目的(原因)去触发攻击。、

“蜻蜓”结合多种策略感染目标:

  • 使用公开可用的Phishery工具向目标发送Word文档,该文档会从黑客控制的服务器下载模板,这个服务器之后会查询下载电脑获取许多企业网络用来限制访问验证用户的SMB凭证。许多情况下,下载电脑会响应,并在该过程中为攻击者提供目标网络的用户名和加密哈希。Cisco Systems的研究人员7月描述了所谓的模板注入攻击。一旦使用密码入侵公司网络,之后“蜻蜓”就会渗透到运营网络。

  • “蜻蜓”使用的另外一种感染技术依赖“水坑式攻击”,攻击者在其中感染能源公司工作人员经常访问的网站。当目标访问陷阱网站时,“蜻蜓”黑客成员之后会感染目标。

  • “蜻蜓”还私用虚假的Adobe Flash的更新安装后门。

“蜻蜓”究竟是谁?

“蜻蜓”黑客组织相当神秘,无人了解他们的身份。该黑客组织在代码中嵌入的文本字符串包含俄语和法语,其成员也许是故意混淆归因。

研究人员在“蜻蜓”早前攻击活动中发现的恶意软件表明,该组织大多遵循东欧作息周一至周五,朝九晚六的工作时间。在最近的攻击活动中,“蜻蜓”恶意软件中的时间戳也大致相同,但数据有限尚不能定论。

“蜻蜓”使用公开可用的恶意软件和管理工具,例如PowerShell、PsExec和Bitsadmin也加大了归因难度。

赛门铁克研究人员在周三发布的报告中写到,“蜻蜓”有能力攻击大量组织机构、窃取信息并访问关键系统,无疑是经验丰富的威胁攻击者。

“蜻蜓”很可能属于俄罗斯黑客组织。

相关阅读:

NotPetya背后的黑客组织神秘,或与乌克兰电网攻击有关
乌克兰电网事件和美国大选恶意软件同源性分析
美国选举系统遭遇黑客攻击 似与乌克兰电网中断有所关联
乌克兰电网攻击纪实:能力逆天的狡猾黑客
乌克兰电网遭遇黑客攻击:九个有待解答的问题
乌克兰电网遭遇协同攻击这一结论得到证实

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。