美國工業控制系統再遭新威脅! 專家證實已有三大黑客組織能破壞全美電網

國際安全智庫發表於2020-01-13

​【快訊】在美國政府網站被攻破,特朗圖被“重拳掛彩”後,昨日,一份有關工業控制系統狀態的最新報告再次吸睛。該報告顯示:國家級黑客組織正在攻擊美國電力基礎設施等相關的工業控制系統,更為嚴重的是,已證實至少有三個黑客組織有能力干擾或破壞全美國的電網。與此同時,針對電力和其他公用事業的網路犯罪活動數量正在上升。伴隨“美伊衝突”的敏感時機,專家們也將此次攻擊的幕後主使指向了伊朗黑客軍團。而針對電力等關鍵基礎設施的攻擊,或將這場國與國的較量推向新的巔峰。

美工業控制系統遭“暗黑烏雲”籠罩,證實已有三大黑客組織能破壞全美電網


昨日,美國關鍵基礎設施網路安全服務商Dragos釋出一份有關工業控制系統狀態的最新報告,該報告顯示:黑客組織已經開展了廣泛的密碼噴灑攻擊活動,而這些密碼針對的正是美國的電力、石油和天然氣公司,而且它們試圖利用虛擬專用網(VPN)裝置中的漏洞來初步訪問目標ICS網路。據悉,攻擊入侵活動貫穿整個2019年,並持續到今天。

尤其在針對《北美電力網路威脅觀點》中,它警告道:

針對北美電力公司的威脅形勢正在擴大,並且在不斷增加,其原因是,出於偵察和研究目的而對ICS網路進行了無數次攻擊。此外,針對ICS的活動團體更對電力部門產生了濃厚興趣。

此外,針對北美電力網路系統的威脅還得到安全研究人員的進一步證實,專家表示:正在追蹤針對北美電力設施的七個小組中,其中有三個小組已經被證明擁有“滲透或破壞”電力網路的能力。也就是說,這三個黑客組織有能力干擾或破壞全美國電網,令其進入至暗時刻。

海灣緊張的軍事政治局勢與攻擊緊密相連,三大組織彰顯黑客軍團的強大破壞力


值得注意的是,電網等關鍵系統的危險係數,伴隨海灣局勢的升溫而升溫。Dragos指出:

針攻擊者針對電網,電力公司和其他與美國公用事業有關的系統的興趣與海灣地區政治和軍事局勢的緊張形勢而上升。


而再進一步探究誰是幕後“真凶”時,Dragos直接概述了三大組織的行動——Xenotime,Dymalloy和Electrum,這些行動即是黑客組織的破壞能力的證據,或許又直擊了其幕後“真凶”。

第一,Xenotime——"最強"工控惡意軟體 Trisis的背後組織

Xenotime 黑客組織可能自2014年開始活躍,2017年12月,該黑客組織利用施耐德Triconex 安全儀表控制系統(SIS,SafetyInstrumented System)零日漏洞,攻擊中東一家石油天然氣工廠,致其工廠停運。而該事件的曝出,也表示ICS攻擊的升級。
 
而也就是從那時起,Xenotime的活動範圍擴大到北美的電力設施,以及歐洲、澳大利亞和中東的公用設施。據悉,該組織反覆展示了其在工業環境中訪問,操作和實施攻擊的能力,Dragos認為,該組織能夠攻擊基於美國系統。
 
而針對Xenotime身份猜測,工業網路安全和威脅情報公司 CyberX 的研究人員曾認為,Trisis 的幕後黑手是伊朗,但截止目前,尚未有明確的證據證明其與其他的黑客組織相關鏈。
 
第二,Dymalloy——高度進取且有活力的黑客組織

Dymalloy,也被稱作Crouching Yeti和Energetic Bear(活力熊),其活動可以追溯到2015年。值得注意的是,Dymalloy具有實現長期和持久訪問IT和運營環境以收集情報和破壞情報的能力,因而也被業界稱為“高度進取且有能力的活動組”。
 
從2015年底到2017年初,Dymalloy成功地攻克了土耳其、歐洲和北美的多個工業控制系統目標。可以說,該組織早已滲透到ICS網路,並從多個組織中竊取了機密資訊。在2018年秋季,Dragos又發現了多個與Dymalloy行為相符的新惡意軟體感染。
 
而針對Xenotime身份猜測,多數專家認為Dragonfly 組織可能源自俄羅斯,而這一點是因其使用複雜的 Havex 惡意軟體。
 
第三,Electrum——被北美電力公司視為最嚴重的電力威脅

Electrum以前是一個開發小組,負責推動早期的Sandworm活動,但在CrashOverride事件中,它同時擔任開發和運營角色。據資料顯示,2016年,Electrum利用ICS惡意軟體CrashOverride致使烏克蘭大斷電)
 
然而,由於Electrum也被描述為“能夠開發可以修改電氣裝置過程的惡意軟體和ICS協議”的組織,同時,該組織不依賴利用漏洞或零日漏洞,而是利用常見的利用行為和方法就能發功攻擊。例如,該組織使用微軟的資料庫伺服器作為連線商業和工業控制網路的閘道器,成功地破壞了工業控制系統,他們使用竊取的憑證來執行程式碼。
 
所以,Dragos認為,Electrum是目前ICS行業中最有能力和最複雜的威脅活動集團之一,並在其報告中,著重警告說:“北美電力公司應將Electrum視為嚴重威脅。”

此報告的釋出,對於美國來說,是一聲雷鳴般的警鐘。國家級黑客軍團的陰霾籠罩著北美乃至整個美國的上空。而這也印證了早期多數軍事和網路安全專家的預判:在軍事力量不對等時,第五領域“網路空間”無疑將是大國博弈的最終戰場。
 
而今天正是卡西姆·蘇萊曼尼(Qassem Suleimani)少將被川普高調“暗殺”的第七天。雖然諸多專家預判這場“喧囂”會越發趨於冷靜,或者以“和平”收尾。

但智庫認為,大規模的軍事戰爭或許不會發生,但雙方在網路空間這一新型戰場上,將持續呈現劍拔弩張之勢。而針對電力等關鍵基礎設施的攻擊,或將這場國與國的較量推向新的巔峰。

外文參考連結:

《北美對電力實體的威脅狀況》
https://dragos.com/blog/industry-news/the-state-of-threats-to-electric-entities-in-north-america/
《安全公司表示,這些黑客組織正在關注電網》
https://www.zdnet.com/article/these-hacking-groups-are-eyeing-power-grids-says-security-company/

本文為國際安全智庫作品 (微信公眾號:guoji-anquanzhiku)

如需轉載,請標註文章來源於:國際安全智庫


美國工業控制系統再遭新威脅! 專家證實已有三大黑客組織能破壞全美電網

相關文章