疑似俄羅斯APT黑客組織“蜻蜓”入侵美國電網

本文講的是<b>疑似俄羅斯APT黑客組織“蜻蜓”入侵美國電網</b>，

我們遭遇的下一次珍珠港事件很有可能是一次網絡攻擊，讓我們的電力系統、電網、安全系統、金融體系和政府體系都陷入癱瘓。 ——美國國防部長利昂•帕内塔（Leon Panetta）

在黑客攻擊關鍵基礎設施的年代，電力公司網絡上任何惡意軟體感染事件都足以引起恐慌。但現實是，這種針對電力網絡的滲透活動正在進一步加劇：近日，安全公司賽門鐵克警告稱，一系列新的黑客攻擊活動不僅能夠損害美國和歐洲的能源公司，還允許攻擊者獲得通路電網系統的權限，進而控制美國領土上的電力系統，緻使其全面停電。

近日，賽門鐵克公司揭示了一個新的攻擊組織活動，并将其稱之為“蜻蜓2.0”（Dragonfly 2.0），據悉，該組織在今年春天和夏天已經針對數十家能源公司實施攻擊活動。賽門鐵克表示，在超過20個攻擊案例中，黑客都已經成功入侵了目标企業的網絡。而在針對少數幾家美國電力公司和至少一家土耳其公司的攻擊活動中，賽門鐵克驗證分析專家發現，黑客還獲得了所謂的“操作通路權限”：即控制電力公司工程師用來發送實際指令的接口，使其有能力控制美國家庭和企業的電力流。

賽門鐵克安全分析師Eric Chien指出，從沒有黑客組織已經表明具備控制美國電力公司系統的能力。唯一可以比較的情況就是烏克蘭國家發生的電網攻擊事件，這算是已知的由黑客攻擊造成的大面積停電事件。

更新換代的“蜻蜓”組織

其實在烏克蘭電網事件中，像FireEye和Dragos這樣的安全公司都已經将嫌疑人鎖定為“沙蟲”（Sandworm）黑客小組，并堅稱其來自俄羅斯。但是Chien卻表示，賽門鐵克公司并未發現“沙蟲”組織與入侵活動之間存在聯系。是以，其實一開始，賽門鐵克也沒有直接将針對美國電力公司的一系列攻擊活動（包括研究人員在7月份發現的針對堪薩斯核設施進行攻擊的俄羅斯黑客組織Palmetto Fusion）與“Dragonfly 2.0”聯系到一起。

但是很快地，Chien注意到，Palmetto Fusion黑客組織的攻擊時間線（Dragonfly被發現後在2014年末突然消失，“Palmetto Fusion”則在2015年初始開啟攻擊）和描述與發現的“蜻蜓”組織存在吻合之處。Chien表示，

這不太可能是一個偶然，雖然Palmetto Fusion入侵的是核電廠，而賽門鐵克追蹤到Dragonfly的入侵目标隻是非核能公司，但是其對聯網的IT網絡和操作通路的控制并沒有明顯區分。

不過，對于這種猜測也有質疑的聲音，CrowdStrike情報副總裁梅耶就曾稱，兩個組織的具體工具或技術上無一重合，暗示“Palmetto Fusion”行動或許是另一組織的工作。此外，思科的Talos研究小組也發現，“Palmetto Fusion”組織使用了網絡釣魚和微軟“伺服器消息塊（SMB）”協定漏洞利用來收割受害者憑證——該技術在Dragonfly之前的行動中從未出現過。

為了介紹這一新發現的入侵活動，賽門鐵克決定将其稱為“Dragonfly2.0”。其實，“蜻蜓”（Dragonfly），也有些安全廠商管它叫“能量熊”（Energetic Bear）組織， 從可監測到的記錄來看，是從2011年開始活躍的團夥，在2013年初轉向攻擊歐美的能源企業之前，“蜻蜓”之前的目标主要是美國和加拿大的軍工和航空業的企業。

而該“Dragonfly 2.0”組織則至少是自2015年12月以來，便一直針對能源公司實施攻擊活動，且到了2017年上半年，其針對美國、土耳其以及瑞士的攻擊活動開始呈現大幅增長的趨勢。

通過對這些攻擊行為進行分析後發現，他們主要通過網絡釣魚電子郵件來誘騙受害者點選惡意附件——最早發現的是一封有關除夕晚會的僞造邀請函；或是利用所謂的“水坑攻擊”（watering hole attacks），破壞目标習慣通路的網站來攻擊受害者的電腦。

在過去，“蜻蜓”組織對電網公司的攻擊主要是專注于資訊收集和了解能源設施是如何運作的。然而随着新的攻擊技能和工具的更新換代，該新型黑客組織似乎正使用這些知識，嘗試并取得進入作業系統的機會，以便破壞它們。

在最近的成功案例中（包括針對美國和土耳其的一些電力公司的攻擊），賽門鐵克認為，攻擊者目前的滲透能力已經足以截獲實際的控制台，操縱電力系統的操作，進而展示其破壞電網的能力。賽門鐵克研究人員表示，

如果你想要實施破壞行動，你可以檢視控制台來決定自己下一步的動作，簡單來說就是随意撥動某些開關，就可以輕松控制電力操作。

如果說這些黑客确實有能力造成美國大範圍停電，那麼他們為什麼沒有這麼做呢？Chien認為，他們确實會造成大面積電力中斷，但是他們在等待最佳的戰略時機，比如，一旦發生武裝沖突，或是其他潛在威脅，對美國進行停電将阻止其對另一個國家的關鍵基礎設施實施攻擊活動。Chien說，

如果這些攻擊是來自另一個民族國家，那麼這種攻擊形式将隻會便随着政治事件出現。

“蜻蜓”組織究竟是誰

“蜻蜓”黑客組織的身份非常神秘，但是從其攻擊技術來看，具有很明顯的國家組織的痕迹。他們的技術能力很強，能夠通過不同的安全層面進行攻擊。

研究人員通過對該組織在此前攻擊活動中使用的惡意軟體編譯的時間戳分析後發現，該組織主要是在周一到周五工作，且每天的活躍時間是從上午9點到下午6點，活動時區位于東4區。據此推斷，該組織成員應該是來自東歐。

此外，該黑客組織在代碼中嵌入的文本字元串包含俄語和法語，其成員也許是故意混淆歸因，不過也不排除确實是來自俄羅斯或法國的可能性。

加上，賽門鐵克研究人員在報告中提到，該組織有能力攻擊大量的組織機構、竊取敏感資訊，并通路關鍵系統，是以其一定是經驗豐富的威脅攻擊者。

綜合此前的相關研究，我們認為“蜻蜓“組織很可能是屬于俄羅斯的黑客組織。

其實，嚴格來說，這已經不是俄羅斯黑客第一次針對美國電力系統實施攻擊了。早在今年年初，就有報道稱，在美國佛蒙特州的一家電力設施内發現了與代号“Grizzly Steppe”的俄羅斯黑客組織相關的電腦代碼，但并沒有用來破壞其操作。

研究人員認為，這次針對佛蒙特州公用事業公司的滲透可能隻是一個測試，來檢視黑客是否可以進入美國電網。如今，實錘證明他們确實有這個能力了，不知道未來他們計劃如果使用這種能力呢？我想到那天，就真的像開頭美國國防部長利昂•帕内塔（Leon Panetta）所說的“像經曆另一場珍珠港事件”一樣的災難吧！

原文釋出時間為：2017年9月14日

本文作者：小二郎

本文來自雲栖社群合作夥伴嘶吼，了解相關資訊可以關注嘶吼網站。

<a href="http://www.4hou.com/info/news/7631.html" target="_blank">原文連結</a>