新闻快讯
< >

内鬼通外神!黑客与加油站员工联手用恶意软件偷油

E安全1月24日讯 俄罗斯联邦安全局(简称FSB)于2018年1月20日在斯塔夫罗波尔逮捕了黑客丹尼斯·扎耶夫,并指控其将设计开发的多款软件程序出售给心存恶意的加油站主管级员工,利用恶意软件在消费者加油时偷偷减少3到7%汽油,再由加油站员工将偷来的油卖给其他消费者,估计数十个加油站受害,不法获利数十亿卢布。

黑客利用代码干扰加油站输油泵给油量-E安全

受害者:加油的车主

俄罗斯新闻媒体Rosbalt的一篇报道指出,俄罗斯南部的数十家加油站都受到Zayev所开发的恶意程序的感染,诈骗行为是针对来加油的车主,加油站并未受到任何损失,但也没有获利,因为获利全都落到加油站员工与黑客的口袋了。

该恶意软件几乎不可能被当地检查员以及石油公司的远程汽油库存监测工具所发现。这些恶意软件同时安装在油表计数器与收银机上,加油站的员工每天早上会先清空一个油槽,当车主加油时,恶意软件会自动少灌输3%~7%的汽油,但计数表上的显示却是正常的,再将多出的汽油引至事先清空的油槽中,而且恶意恶意会清除这些程序的操作,让它不落痕迹。之后加油站员工再销售盗来的汽油,且藉由收银机上的恶意软件移除销售纪录,再与黑客分赃,通过方式已让他们获利数十亿卢布。

目前尚不清楚俄罗斯当局到底是如何揭开这一骗局的。由于车主一般很难察觉汽油被少加了3~7%,再加上加油站并无损失,这类的诈骗案几乎不容易被发现,外界则猜测应是被知情人士检举。该软件目前仅被发现于地处俄罗斯南部的加油站设施当中。俄联邦安全局方面并没有就此事的媒体采访邮件作出回应。

加油站经常被“偷油”

事实上,针对加油站的黑客攻击已经不是什么新鲜事物。早在2014年,美国纽约州当局就指控13名男子在2012年至2013年期间利用具备蓝牙功能的浮油回收装置从美国南部多座加油站的客户处窃取200多万美元。

研究人员凯尔·威尔霍伊特与史蒂芬·希尔特在2015年Black Hat大会发布的演示文稿当中也强调称,美国本土大量接入公共互联网的油泵监测系统正面临日益高企的安全风险。他们警告称,这些暴露在互联网当中的SCADA系统可能允许恶意攻击者对油泵实施DDoS攻击,填充错误数据,并通过人为操纵令油泵加注柴油燃料而非无铅汽油——这可能导致客户车辆发生损坏。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。