疑似俄羅斯APT黑客組織「蜻蜓」入侵美國電網

我們遭遇的下一次珍珠港事件很有可能是一次網路攻擊，讓我們的電力系統、電網、安全系統、金融體系和政府體系都陷入癱瘓。

——美國國防部長利昂?帕內塔（Leon Panetta）

在黑客攻擊關鍵基礎設施的年代，電力公司網路上任何惡意軟體感染事件都足以引起恐慌。但現實是，這種針對電力網路的滲透活動正在進一步加劇：近日，安全公司賽門鐵克警告稱，一系列新的黑客攻擊活動不僅能夠損害美國和歐洲的能源公司，還允許攻擊者獲得訪問電網系統的許可權，進而控制美國領土上的電力系統，致使其全面停電。

近日，賽門鐵克公司揭示了一個新的攻擊組織活動，並將其稱之為「蜻蜓2.0」（Dragonfly 2.0），據悉，該組織在今年春天和夏天已經針對數十家能源公司實施攻擊活動。賽門鐵克表示，在超過20個攻擊案例中，黑客都已經成功入侵了目標企業的網路。而在針對少數幾家美國電力公司和至少一家土耳其公司的攻擊活動中，賽門鐵克取證分析專家發現，黑客還獲得了所謂的「操作訪問許可權」：即控制電力公司工程師用來發送實際命令的介面，使其有能力控制美國家庭和企業的電力流。

賽門鐵克安全分析師Eric Chien指出，從沒有黑客組織已經表明具備控制美國電力公司系統的能力。唯一可以比較的情況就是烏克蘭國家發生的電網攻擊事件，這算是已知的由黑客攻擊造成的大面積停電事件。

更新換代的「蜻蜓」組織

其實在烏克蘭電網事件中，像FireEye和Dragos這樣的安全公司都已經將嫌疑人鎖定為「沙蟲」（Sandworm）黑客小組，並堅稱其來自俄羅斯。但是Chien卻表示，賽門鐵克公司並未發現「沙蟲」組織與入侵活動之間存在聯繫。所以，其實一開始，賽門鐵克也沒有直接將針對美國電力公司的一系列攻擊活動（包括研究人員在7月份發現的針對堪薩斯核設施進行攻擊的俄羅斯黑客組織Palmetto Fusion）與「Dragonfly 2.0」聯繫到一起。

但是很快地，Chien注意到，Palmetto Fusion黑客組織的攻擊時間線（Dragonfly被發現後在2014年末突然消失，「Palmetto Fusion」則在2015年初始開啟攻擊）和描述與發現的「蜻蜓」組織存在吻合之處。Chien表示，

這不太可能是一個偶然，雖然Palmetto Fusion入侵的是核電廠，而賽門鐵克追蹤到Dragonfly的入侵目標只是非核能公司，但是其對聯網的IT網路和操作訪問的控制並沒有明顯區分。

不過，對於這種猜測也有質疑的聲音，CrowdStrike情報副總裁梅耶就曾稱，兩個組織的具體工具或技術上無一重合，暗示「Palmetto Fusion」行動或許是另一組織的工作。此外，思科的Talos研究小組也發現，「Palmetto Fusion」組織使用了網路釣魚和微軟「伺服器消息塊（SMB）」協議漏洞利用來收割受害者憑證——該技術在Dragonfly之前的行動中從未出現過。

為了介紹這一新發現的入侵活動，賽門鐵克決定將其稱為「Dragonfly2.0」。其實，「蜻蜓」（Dragonfly），也有些安全廠商管它叫「能量熊」（Energetic Bear）組織， 從可監測到的記錄來看，是從2011年開始活躍的團伙，在2013年初轉向攻擊歐美的能源企業之前，「蜻蜓」之前的目標主要是美國和加拿大的軍工和航空業的企業。

而該「Dragonfly 2.0」組織則至少是自2015年12月以來，便一直針對能源公司實施攻擊活動，且到了2017年上半年，其針對美國、土耳其以及瑞士的攻擊活動開始呈現大幅增長的趨勢。

通過對這些攻擊行為進行分析後發現，他們主要通過網路釣魚電子郵件來誘騙受害者點擊惡意附件——最早發現的是一封有關除夕晚會的偽造邀請函；或是利用所謂的「水坑攻擊」（watering hole attacks），破壞目標習慣訪問的網站來攻擊受害者的電腦。

在過去，「蜻蜓」組織對電網公司的攻擊主要是專註於信息收集和了解能源設施是如何運作的。然而隨著新的攻擊技能和工具的更新換代，該新型黑客組織似乎正使用這些知識，嘗試並取得進入操作系統的機會，以便破壞它們。

在最近的成功案例中（包括針對美國和土耳其的一些電力公司的攻擊），賽門鐵克認為，攻擊者目前的滲透能力已經足以截獲實際的控制面板，操縱電力系統的操作，從而展示其破壞電網的能力。賽門鐵克研究人員表示，

如果你想要實施破壞行動，你可以查看控制面板來決定自己下一步的動作，簡單來說就是隨意撥動某些開關，就可以輕鬆控制電力操作。

如果說這些黑客確實有能力造成美國大範圍停電，那麼他們為什麼沒有這麼做呢？Chien認為，他們確實會造成大面積電力中斷，但是他們在等待最佳的戰略時機，比如，一旦發生武裝衝突，或是其他潛在威脅，對美國進行停電將阻止其對另一個國家的關鍵基礎設施實施攻擊活動。Chien說，

如果這些攻擊是來自另一個民族國家，那麼這種攻擊形式將只會便隨著政治事件出現。

「蜻蜓」組織究竟是誰

「蜻蜓」黑客組織的身份非常神秘，但是從其攻擊技術來看，具有很明顯的國家組織的痕迹。他們的技術能力很強，能夠通過不同的安全層面進行攻擊。

研究人員通過對該組織在此前攻擊活動中使用的惡意軟體編譯的時間戳分析後發現，該組織主要是在周一到周五工作，且每天的活躍時間是從上午9點到下午6點，活動時區位於東4區。據此推斷，該組織成員應該是來自東歐。

此外，該黑客組織在代碼中嵌入的文本字元串包含俄語和法語，其成員也許是故意混淆歸因，不過也不排除確實是來自俄羅斯或法國的可能性。

加上，賽門鐵克研究人員在報告中提到，該組織有能力攻擊大量的組織機構、竊取敏感信息，並訪問關鍵系統，所以其一定是經驗豐富的威脅攻擊者。

綜合此前的相關研究，我們認為「蜻蜓「組織很可能是屬於俄羅斯的黑客組織。

其實，嚴格來說，這已經不是俄羅斯黑客第一次針對美國電力系統實施攻擊了。早在今年年初，就有報道稱，在美國佛蒙特州的一家電力設施內發現了與代號「Grizzly Steppe」的俄羅斯黑客組織相關的電腦代碼，但並沒有用來破壞其操作。

研究人員認為，這次針對佛蒙特州公用事業公司的滲透可能只是一個測試，來查看黑客是否可以進入美國電網。如今，實錘證實他們確實有這個能力了，不知道未來他們計劃如果使用這種能力呢？我想到那天，就真的像開頭美國國防部長利昂?帕內塔（Leon Panetta）所說的「像經歷另一場珍珠港事件」一樣的災難吧！

本文翻譯自https://www.wired.com/story/hackers-gain-switch-flipping-access-to-us-power-systems/，如若轉載，請註明原文地址： http://www.4hou.com/info/news/7631.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：