印度核電公司(NPCIL)官方證實:Kudankulam核電站的確感染了朝鮮Dtrack變種惡意軟體

紅數位發表於2019-10-31

昨天我們報導了:

印度庫丹庫拉姆Kudankulam核電廠被稱網路攻擊,官方:假的!


但是!


印度核電公司[Nuclear Power Corporation](NPCIL)今天證實,印度核電站之一Kudankulam核電站(KNPP)網路的確感染了朝鮮政府資助的駭客建立的惡意軟體。


印度核電公司(NPCIL)官方證實:Kudankulam核電站的確感染了朝鮮Dtrack變種惡意軟體


有訊息稱,Kudankulam核電站(KNPP)可能已經感染了危險的惡意軟體,該則訊息最初於週一在Twitter上露面。


印度核電公司(NPCIL)官方證實:Kudankulam核電站的確感染了朝鮮Dtrack變種惡意軟體

印度核電公司(NPCIL)官方證實:Kudankulam核電站的確感染了朝鮮Dtrack變種惡意軟體

印度國家技術研究組織(NTRO)的前安全分析師Pukhraj Singh指出,最近VirusTotal上傳實際上與KNPP上的惡意軟體感染有關。


特定的惡意軟體樣本包括KNPP內部網路的硬編碼憑據,這表明該惡意軟體經過專門編譯以在電廠的IT網路內部傳播和執行。


與朝鮮拉撒路集團有關的惡意軟體

幾位安全研究人員將該惡意軟體識別為Dtrack的一種版本,Dtrack是由朝鮮精英駭客組織Lazarus Group開發的後門木馬。


印度核電公司(NPCIL)官方證實:Kudankulam核電站的確感染了朝鮮Dtrack變種惡意軟體


印度核電公司(NPCIL)官方證實:Kudankulam核電站的確感染了朝鮮Dtrack變種惡意軟體

辛格(Singh)的推文和啟示立即傳播開來,因為就在幾天前,同一發電廠意外關閉了其一座反應堆,許多使用者將這兩個無關的事件混為一談。

印度核電公司(NPCIL)官方證實:Kudankulam核電站的確感染了朝鮮Dtrack變種惡意軟體

最初,KNPP官員否認他們遭受了任何惡意軟體感染,發表宣告將這些推文描述為“虛假資訊”,並且對發電廠進行網路攻擊是“不可能的”。


印度核電公司(NPCIL)官方證實:Kudankulam核電站的確感染了朝鮮Dtrack變種惡意軟體


但是今天,KNPP的母公司NPCIL在另一份宣告中承認存在安全漏洞。


宣告開始說:“ NPCIL系統中的惡意軟體識別是正確的。”


印度核電公司(NPCIL)官方證實:Kudankulam核電站的確感染了朝鮮Dtrack變種惡意軟體


NPCIL表示,該惡意軟體僅感染了其管理網路,但未到達其關鍵的內部網路,該內部網路用於控制電廠的核反應堆。NPCIL說這兩個網路是孤立的。


此外,NPCIL確認了Singh在Twitter上的發言;他們在9月4日首次發現該惡意軟體時就收到了來自CERT印度的通知,並且他們在報告時已對此事進行了調查。


其實沒什麼大不了的

根據俄羅斯反病毒製造商卡巴斯基對Dtrack惡意軟體的分析,該木馬具有以下功能:

  • 鍵盤記錄
  • 檢索瀏覽器歷史記錄,
  • 收集主機IP地址,有關可用網路和活動連線的資訊,
  • 列出所有正在執行的程式,
  • 列出所有可用磁碟捲上的所有檔案。


從其功能可以明顯看出,Dtrack通常用於偵察目的,並用作其他惡意軟體有效載荷的投遞器。


以前的Dtrack樣本通常出現在出於政治動機的網路間諜活動和對銀行的攻擊中-上個月也發現了自定義版本的Dtrack,名為AMTDtrack。


從歷史上看,拉撒路(Lazarus)小組或任何其他朝鮮駭客組織很少追趕能源和工業領域的目標。當他們這樣做時,他們追求的是專有智慧財產權,而不是破壞。


印度核電公司(NPCIL)官方證實:Kudankulam核電站的確感染了朝鮮Dtrack變種惡意軟體

感染流程,最終將資料傳送到攻擊者的控制伺服器


朝鮮大部分的進攻性駭客努力都集中在深入瞭解外交關係,追蹤逃離朝鮮的前朝鮮公民,或駭客入侵銀行和加密貨幣交易所為平壤政權籌集資金以為其武器和導彈計劃籌集資金。


訊息回顧:

WannaCry和Sony被黑背後的朝鮮APT組織及另2駭客組織被美國製裁


KNPP事件看起來更像是意外感染,而不是精心計劃的攻擊。自卡巴斯基上個月報導說,拉撒路集團已經發現在印度分佈Dtrack和AMDtrack版本以瞄準其金融部門以來,情況似乎說的通了。


回顧:在印度發現朝鮮的新型針對ATM的惡意軟體

朝鮮駭客已經開發出一種新型惡意軟體,並已被觀察到,該惡意軟體可以植入ATM系統,並用於記錄和竊取插入機器中的支付卡中的資料。


卡巴斯基專家在今天釋出的一份報告中表示,自2018年夏末以來,這種名為ATMDtrack的新惡意軟體已在印度銀行網路中發現。


較新的攻擊方式還針對印度研究中心,提供了功能更強大和擴充套件性更高的同一惡意軟體版本,名為DTrack,該軟體專注於間諜和資料盜竊,而不是金融犯罪,並且具有遠端訪問木馬(RAT)中通常具有的功能。


與朝鮮最大的國家駭客組織的連結

卡巴斯基研究人員表示,這兩種惡意軟體菌株(作為DTrack家族共同追蹤)與“ DarkSeoul”中使用的惡意軟體有很多相似之處,“ DarkSeoul ”是針對2013年韓國目標的一系列攻擊。


這些攻擊歸因於拉撒路集團(Lazarus Group),這是一家受朝鮮政府追捧的知名網路間諜組織。


Lazarus Group是十天前受到美國財政部制裁的三個朝鮮駭客組織之一,原因是它們策劃了對銀行,ATM網路,賭博網站,線上賭場和加密貨幣交易所的網路攻擊,以從合法企業中竊取資金併為該國的武器和導彈計劃籌集資金。


換句話說,ATMDTrack惡意軟體菌株的發現為美國財政部批准制裁與該組織有關的任何實體的決定提供了支援,並證明了這一點,並使其符合拉撒路的正常運作模式。


最早於本月發現DTRACK惡意軟體

此外,DTrack似乎是Lazarus Group的最新作品之一。卡巴斯基首次部署於2018年夏末,並表示最新樣本在2019年9月這個月就活躍了。


最新的DTrack示例可以執行以下操作:

  • 鍵盤記錄
  • 檢索瀏覽器歷史記錄,
  • 收集主機IP地址,有關可用網路和活動連線的資訊,
  • 列出正在執行的程式,
  • 列出所有可用磁碟捲上的檔案。


根據目前可獲得的資訊,尚不清楚DTrack是否從ATMDTrack演變而來,還是在去年朝鮮駭客設法突破印度後盾並需要專門工具瞄準ATM時才從主要DTrack開發出了ATMDTrack。



印度核電公司(NPCIL)官方證實:Kudankulam核電站的確感染了朝鮮Dtrack變種惡意軟體

相關文章