> 社会 >

正文 >俄罗斯黑客与美国核电厂违约有关

俄罗斯黑客与美国核电厂违约有关

   2017-09-07 09:13   作者:   编辑:郭晴天
字号:T T

根据计算机安全公司赛门铁克的新报告,今年电子公司和核电厂运营商的一系列复杂的计算机入侵已经追溯到以前与俄罗斯相关联的一个名为“蜻蜓”和“能量熊”的黑客群体。 ,自今年年初以来,已有约100次此类违规行为,其中一半在美国

这个发现可能是令人担忧的,因为蜻蜓是很少的黑客团体之一,以证明电网控制网络的专业知识 - 电脑系统关闭和断路器。另外一个与俄罗斯有关的黑客行动曾经表明,克里姆林宫的能力和愿意使用这种专业知识导致电力停电,一次是在2015年12月,一年之后在乌克兰也是第二次。赛门铁克相信,美国的违规行为可能会进入相似的地形。

赛门铁克的报告总结说:“原来的蜻蜓运动似乎是一个更具探索性的阶段,攻击者只是想要访问目标组织的网络。现在,“攻击者可能正在进入一个新的阶段,最近的运动可能会为他们提供访问操作系统的访问权限,以后可能会被用于更具破坏性的目的。”

然而,到目前为止,美国入侵一直是收集情报 - 技术图表,报告,密码,加密密钥 - 主要来自不管理设备的管理网络。入侵者只有少数的漏洞进入工厂控制网络。但赛门铁克技术总监Vikram Thakur指出,他们不快离开。

Thakur说:“袭击者能够在房屋的运营方面得到的那些对我们来说是最可怕的。” “我们已经看到他们在这些可操作的计算机上运行,​​并开始采取快速扫描的截图。有些会显示与什么相关的地图。“

如果Thakur担心攻击者正在从间谍转向彻底的中断,他承认他不是电网控制系统的专家。Dragos的首席执行官罗伯特·李(Robert Lee)是一位专家,他说他没有看到蜻蜓正在做任何事情并不总是这样做:证明和收集信息。

李鹏说:“看美国能源部门的威​​胁演员非常关心。“但是,我们必须非常小心地采取敌对意图和动机...我们没有看到有迹象表明有能力取消基础设施。当然,我们不希望他们有这个选择。“

最近一波能源公司的袭击事件引起了人们的关注。在联邦调查局和DHS 发布行业咨询警告后,未知的黑客专门针对工程师,将其作为向美国能源公司,包括一些核电厂进军的一种方式。

袭击中的肇事者完善了双管齐下的做法。在一些黑客中,他们向工程师及其经理发送伪造的简历或派对邀请函作为Microsoft Word文件,专门将受害者的Windows凭据泄漏给攻击者的机器。第二个更加阴险的做法涉及到黑客入侵控制系统工程师,如行业杂志和杂志经常访问的第三方网站。通过在网站的代码上种植一行,攻击者可以使用恶意软件定位任何网站的访问者。一名安全专家称这是一场“漏水”攻击事件,至少有60个与工程有关的场址已经用于能源攻击。

攻击者是专业且组织良好的,但是由于它们大量使用地下电脑中的开放源代码和工具,所以很难将它们与先前已知的操作联系起来。在其新的报告中,赛门铁克表示,它最终将黑客上的商品归咎于部分原因是因为他们被捕获部署了一个名为Heriplor的后门程序版本,此版本仅由另外一个蜻蜓(Dragonfly)使用。

蜻蜓已经是明显的嫌疑人了。该组织从2011年底开始攻击世界各地的能源公司,使用现在在核武器中看到的相同技术,臭名昭着。2014年,赛门铁克发现黑客入侵,并发表了关于蜻蜓的第一份报告; Crowdstrike将操作确定为起源于俄罗斯。 

根据赛门铁克的公开曝光后,蜻蜓似乎消失了。但是,从2017年的攻势向后工作,赛门铁克表示,已经发现黑客们开始在欧洲安静地部署新的浇水孔和微软Word套装,以及熟悉的后门商业软件技巧。今年,他们把这个新的运动带给了美国。

蜻蜓一直专注于控制网络,包括称为SCADA的关键技术,用于监控和数据采集。SCADA网络本质上是一个电子神经系统,允许操作员远程监控和控制所有的泵,电机,继电器和阀门,这些都是社会基础设施的基础。这个技术从20世纪40年代开始就是电力行业的发展,作为解决电力分配日益复杂化的一个解决方案,需要不断监测和调整分散在全国的数千个变电站的设备。公用事业不是把技术人员保留在每个场所,而是开始将变电站设备连接到集中控制中心的电表和旋钮,首先是通过无线电连接,今天通过串行端口和数字网络,

SCADA系统一直受到不安全的困扰,一些安全专家多年来警告说,攻击者最终可能会导致停电。最终发生在2015年12月,当与俄罗斯政府挂钩的桑德沃姆(Sandworm)的黑客行动成功地攻击了一个乌克兰的发电厂,并引发了一场停电,造成225,000人无权。

去年,同一黑客的第二次攻击使基辅的一部分陷入黑暗中大约一个小时。这次攻击使用以前不可见的恶意软件,专门用于操纵电厂网络