當前位置:
首頁 > 最新 > 五大黑客組織已經瞄準工控系統

五大黑客組織已經瞄準工控系統

最新 03-05

E安全3月5日訊 工業網路安全廠商 Dragos 公司2018年3月1日發布報告表示,目前至少有五個高水平威脅集團的惡意活動主要集中在工業控制系統(簡稱ICS)身上。


五個黑客組織的詳細介紹及比較

雖然非針對性惡意軟體入侵工業系統的狀況並不罕見,但目前此類針對性攻擊同樣正變得愈發普遍。Dragos 公司目前正在持續追蹤五個威脅組織,其皆曾經直接攻擊工業控制系統或者對收集此類信息的相關信息表現出興趣。

Electrum

該公司追蹤的惡意組織之一是 Electrum,該組織最知名的「壯舉」,當數2016年12月利用 CRASh OVERRIDE/Industroyer惡意軟體導致烏克蘭大規模停電。Electrum 與 Sandworm Team 可能存在關聯,其中後者被廣泛認定為造成烏克蘭2015年停電事故的幕後操縱者。而俄羅斯政府則被指控為與這兩輪攻擊事件有關。

儘管自2016年針對烏克蘭電力設施的攻擊以來,Electrum 再沒有發動任何大規模攻擊,但 Dragos 公司表示其仍然繼續保持活躍,且有證據表明其進一步擴大了打擊目標範圍。Dragos 公司在其報告中指出,「儘管 Electrum 以往的惡意活動主要針對烏克蘭,但從其它小範圍惡意事件信息以及該集團同 SANDWORM 間的關聯來看,我們認為 Electrum 很可能在支持者的授意下被『另委重任』。」

Covellite

Dragos 公司關注的另一個惡意組織為 Covellite ,其與朝鮮旗下惡名昭著的Lazarus集團有關。Dragos 公司的研究人員們自2017的9月起開始觀察 Covellite,當時其正針對美國各電網公司發動具有高度針對性的網路釣魚攻擊。研究人員們隨後發現,該集團亦可能對歐洲、北美以及東亞地區的多個組織機構發動了攻擊。

與 Electrum 不同,Covellite 截至目前仍未使用過任何專門針對工業系統的惡意軟體。

Dymalloy

Dragos 公司的報告還總結了 Dymalloy 集團的活動。Dymalloy 集團在對 Dragonfly 行動的調查中漸漸浮出水面,亦被稱為 Crouching Yeti 以及 Energetic Bear。所謂 Dragonfly 行動,很可能是俄羅斯在境外利用高複雜度惡意軟體 Havex 實施的一系列攻擊舉措——近期,美國已經有多家能源廠商發現其控制系統遭遇 Dragonfly 行動的侵擾。

Dragos 公司認為,Dymalloy 與 Dragonfly 並無關聯(至少沒有直接關聯),因為前者使用的工具並不像 Havex 那樣先進。然而,Dymalloy 黑客們確實設法入侵了位於土耳其、歐洲以及北美的多家工業控制系統廠商,並獲得了對 HMI (即人機介面)設備的訪問許可權。Dymalloy 自2017年以來在活躍度方面似乎有所降低,這可能是為了迴避媒體以及安全研究人員對其給予的高度關注。

Chrysene

自2017年年中以來,Dragos 公司還一直在持續追蹤 Chrysene 集團。該集團的主要業務集中在北美、西歐、以色列以及伊拉克,且特別關注電力、石油與天然氣等行業機構。

Chrysene 目前繼續保持活躍,且曾經使用伊朗網路間諜團體OilRig與 Greenbug 相關惡意框架的一種變種。

Dragos 公司指出,「儘管 Chrysene 的惡意軟體與其它威脅組織所使用的類似工具相比,在功能性方面得到了顯著增強,但我們尚未觀察到該惡意集團使用其中專門針對工業控制系統的功能。而且其截至目前的所有活動似乎都集中在對工業控制系統相關組織實施 IT 滲透與間諜活動身上。」

值得注意的是,最近發現的一種被稱為Trisis/Triton的惡意軟體屬於專門用於破壞安全儀錶系統(簡稱SIS)的首種威脅工具,且部分研究人員認為其與伊朗方面存在關聯。

Magnallium

引發 Dragos 公司關注的最後一個以工業控制系統為主要目標的威脅組織為Magnallium,其同樣與伊朗有所聯繫。自 FireEye 公司以APT33為代碼對其惡意活動發布報告後,Dragos 方面就開始追蹤這一惡意集團。

儘管部分媒體在報道中認為APT33的主要打擊目標集中在工業控制系統以及關鍵基礎設施層面,但 Dragos 公司的調查結果顯示,該組織似乎並不具備任何針對工業控制系統的攻擊能力。

Dragos 公司表示,儘管這些惡意集團當中,只有一個能夠通過專門針對工業控制系統的惡意軟體影響其網路運營,但全部五個集團都至少參與到與工業控制系統環境相關的偵察與情報收集活動當中。這些集團在2017年中的整體活動中相對保持穩定,可能是一些已經發生的安全事件尚未被察覺。

註:本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com/news/1744933865.shtml


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 E安全 的精彩文章:

追蹤「區塊鏈」交易≠追蹤「交易者」
新加坡「智慧國」計劃險些被英特爾「幽靈」 「熔斷」

TAG:E安全 |