滲透美國和歐洲電網後 俄羅斯黑客組織「蜻蜓」埋伏以待

E安全9月8日文 賽門鐵克的研究人員周三警告稱，國家支持型黑客已經滲透了美國和歐洲多家能源公司控制電網關鍵部分的運營網路。

黑客組織「蜻蜓」瞄準歐美能源企業

賽門鐵克檢測的入侵事件說明，黑客組織「蜻蜓」的攻擊升級。至少自2011年以來，「蜻蜓」一直針對美國和歐洲能源企業發起攻擊。

2014年，賽門鐵克報告稱，「蜻蜓」在有限的目標網站中積極建立「灘頭陣地」，主要竊取用來限制驗證用戶訪問權的用戶名和密碼。過去一年，這支黑客組織設法攻擊十幾家能源公司，在部分高度敏感的供電網路中安裝後門。

賽門鐵克安全響應與技術部門的技術總監埃里克·錢（Eric Chien）表示，最令人擔心的是，這幫黑客團伙入侵能源公司的運營網路，甚至可能潛伏在這些網路中，而不需要跨越技術障礙。

這種現象令人不安，因為運營網路（或能源行業的電子安全邊界）通常會對電網的穩定性產生巨大的影響力。「2003年美加大」停電事件就是因為實時追蹤電網安全狀態的運營網站出現系統故障，當時5500萬用戶供電的電網被關閉。

控制企業運營網路的攻擊者可能會利用運營網路成為公司能源資產的實際經營者，可以採取的控制措施包括開啟或關閉企業基礎設施斷路器，並劫持監控電網安全狀態的系統。更有更令人不安的情境：攻擊者還可能控制多個電網連接的運營系統，製造各類故障，最終釀成類似2003年美加大停電的這類事件。

錢表示，賽門鐵克最近向100餘家能源公司和組織機構發出警告，包括北美電力可靠性協會（簡稱NARC）和美國國土安全部（簡稱DHS）。

周三，賽門鐵克在官方博客發出公開警告並強調，從被感染網路簡單移除惡意軟體不足以打擊這類威脅，因為在許多情況下，這群攻擊者手上掌握著重新控制網路必需的登錄憑證和其它數據。賽門鐵克周三發布的報告提供了能源公司可能用來判斷網路是否遭遇攻擊的指示器（Indicator），包括使用隨機長密碼。

「蜻蜓」攻擊模式有何特點？

2015年12月，烏克蘭配電中心發生黑客攻擊，停電長達6個小時，22.5萬用戶受到影響。這是全球首起已知的真實電網攻擊事件。一年之後，烏克蘭電力傳輸設施遭遇黑客攻擊，基輔地區停電約一小時。研究人員認為這起攻擊的幕後黑手是「Sandworm」黑客組織。

2015年發生的這起黑客攻擊中，Sandworm使用修改版的BlackEnergy工具入侵目標電力公司的企業網路，收集密碼和其它數據滲透生成並傳輸電力的管理控制和數據採集系統。2016年，Sandworm帶著新款惡意軟體「Crash Override」再現江湖。這款自定義惡意軟體專門用來攻擊電網系統。

比較而言，「蜻蜓」使用的工具完全不同。Chien認為這兩個黑客組織是完全獨立的。「蜻蜓」2013年、2014年以及最近的攻擊只依賴後門和遠程訪問木馬（RAT）。由此可見，「蜻蜓」也許會使用運營網路的訪問權手動控制斷路器。「蜻蜓」也有可能會部署新惡意軟體如Crash Override般自動運行功能。

Dragos Security創始人兼首席執行官羅伯特·李表示，「蜻蜓」控制人機介面（控制開關、打開關閉斷路器）不止需要一種能力。李表示，雖然效仿2015年烏克蘭電網的技術可能會奏效，但他指出，美國電網不同，這些策略或許不見得有效。

錢表示：由於美國的電網規模龐大，手動攻擊比烏克蘭困難得多。為了達到效果，可能需要人為「扳動開關」，部署「破壞」設備等，但研究人員認為這樣做不存在任何技術障礙。在這種情況下，攻擊者需要必要的訪問權。

發現 「crashoverride v2」時已為時已晚，因為這意味著惡意軟體已經部署，只等待特定的政治目的（原因）去觸發攻擊。、

「蜻蜓」結合多種策略感染目標：

• 使用公開可用的Phishery工具向目標發送Word文檔，該文檔會從黑客控制的伺服器下載模板，這個伺服器之後會查詢下載電腦獲取許多企業網路用來限制訪問驗證用戶的SMB憑證。許多情況下，下載電腦會響應，並在該過程中為攻擊者提供目標網路的用戶名和加密哈希。Cisco Systems的研究人員7月描述了所謂的模板注入攻擊。一旦使用密碼入侵公司網路，之後「蜻蜓」就會滲透到運營網路。

• 「蜻蜓」使用的另外一種感染技術依賴「水坑式攻擊」，攻擊者在其中感染能源公司工作人員經常訪問的網站。當目標訪問陷阱網站時，「蜻蜓」黑客成員之後會感染目標。

• 此外。「蜻蜓」還私用虛假的Adobe Flash的更新安裝後門。

「蜻蜓」究竟是誰？

「蜻蜓」黑客組織相當神秘，無人了解他們的身份。該黑客組織在代碼中嵌入的文本字元串包含俄語和法語，其成員也許是故意混淆歸因。

研究人員在「蜻蜓」早前攻擊活動中發現的惡意軟體表明，該組織大多遵循東歐作息周一至周五，朝九晚六的工作時間。在最近的攻擊活動中，「蜻蜓」惡意軟體中的時間戳也大致相同，但數據有限尚不能定論。

「蜻蜓」使用公開可用的惡意軟體和管理工具，例如PowerShell、PsExec和Bitsadmin也加大了歸因難度。

賽門鐵克研究人員在周三發布的報告中寫到，「蜻蜓」有能力攻擊大量組織機構、竊取信息並訪問關鍵系統，無疑是經驗豐富的威脅攻擊者。

「蜻蜓」很可能屬於俄羅斯黑客組織。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！