美国工业控制系统再遭新威胁! 专家证实已有三大黑客组织能破坏全美电网

发布者:国际安全智库
发布于:2020-01-13 22:34

​【快讯】在美国政府网站被攻破,特朗图被“重拳挂彩”后,昨日,一份有关工业控制系统状态的最新报告再次吸睛。该报告显示:国家级黑客组织正在攻击美国电力基础设施等相关的工业控制系统,更为严重的是,已证实至少有三个黑客组织有能力干扰或破坏全美国的电网。与此同时,针对电力和其他公用事业的网络犯罪活动数量正在上升。伴随“美伊冲突”的敏感时机,专家们也将此次攻击的幕后主使指向了伊朗黑客军团。而针对电力等关键基础设施的攻击,或将这场国与国的较量推向新的巅峰。

美工业控制系统遭“暗黑乌云”笼罩,证实已有三大黑客组织能破坏全美电网


昨日,美国关键基础设施网络安全服务商Dragos发布一份有关工业控制系统状态的最新报告,该报告显示:黑客组织已经开展了广泛的密码喷洒攻击活动,而这些密码针对的正是美国的电力、石油和天然气公司,而且它们试图利用虚拟专用网(VPN)设备中的漏洞来初步访问目标ICS网络。据悉,攻击入侵活动贯穿整个2019年,并持续到今天。

尤其在针对《北美电力网络威胁观点》中,它警告道:

针对北美电力公司的威胁形势正在扩大,并且在不断增加,其原因是,出于侦察和研究目的而对ICS网络进行了无数次攻击。此外,针对ICS的活动团体更对电力部门产生了浓厚兴趣。

此外,针对北美电力网络系统的威胁还得到安全研究人员的进一步证实,专家表示:正在追踪针对北美电力设施的七个小组中,其中有三个小组已经被证明拥有“渗透或破坏”电力网络的能力。也就是说,这三个黑客组织有能力干扰或破坏全美国电网,令其进入至暗时刻。

海湾紧张的军事政治局势与攻击紧密相连,三大组织彰显黑客军团的强大破坏力


值得注意的是,电网等关键系统的危险系数,伴随海湾局势的升温而升温。Dragos指出:

针攻击者针对电网,电力公司和其他与美国公用事业有关的系统的兴趣与海湾地区政治和军事局势的紧张形势而上升。


而再进一步探究谁是幕后“真凶”时,Dragos直接概述了三大组织的行动——Xenotime,Dymalloy和Electrum,这些行动即是黑客组织的破坏能力的证据,或许又直击了其幕后“真凶”。

第一,Xenotime——"最强"工控恶意软件 Trisis的背后组织

Xenotime 黑客组织可能自2014年开始活跃,2017年12月,该黑客组织利用施耐德Triconex 安全仪表控制系统(SIS,SafetyInstrumented System)零日漏洞,攻击中东一家石油天然气工厂,致其工厂停运。而该事件的曝出,也表示ICS攻击的升级。
 
而也就是从那时起,Xenotime的活动范围扩大到北美的电力设施,以及欧洲、澳大利亚和中东的公用设施。据悉,该组织反复展示了其在工业环境中访问,操作和实施攻击的能力,Dragos认为,该组织能够攻击基于美国系统。
 
而针对Xenotime身份猜测,工业网络安全和威胁情报公司 CyberX 的研究人员曾认为,Trisis 的幕后黑手是伊朗,但截止目前,尚未有明确的证据证明其与其他的黑客组织相关链。
 
第二,Dymalloy——高度进取且有活力的黑客组织

Dymalloy,也被称作Crouching Yeti和Energetic Bear(活力熊),其活动可以追溯到2015年。值得注意的是,Dymalloy具有实现长期和持久访问IT和运营环境以收集情报和破坏情报的能力,因而也被业界称为“高度进取且有能力的活动组”。
 
从2015年底到2017年初,Dymalloy成功地攻克了土耳其、欧洲和北美的多个工业控制系统目标。可以说,该组织早已渗透到ICS网络,并从多个组织中窃取了机密信息。在2018年秋季,Dragos又发现了多个与Dymalloy行为相符的新恶意软件感染。
 
而针对Xenotime身份猜测,多数专家认为Dragonfly 组织可能源自俄罗斯,而这一点是因其使用复杂的 Havex 恶意软件。
 
第三,Electrum——被北美电力公司视为最严重的电力威胁

Electrum以前是一个开发小组,负责推动早期的Sandworm活动,但在CrashOverride事件中,它同时担任开发和运营角色。据资料显示,2016年,Electrum利用ICS恶意软件CrashOverride致使乌克兰大断电)
 
然而,由于Electrum也被描述为“能够开发可以修改电气设备过程的恶意软件和ICS协议”的组织,同时,该组织不依赖利用漏洞或零日漏洞,而是利用常见的利用行为和方法就能发功攻击。例如,该组织使用微软的数据库服务器作为连接商业和工业控制网络的网关,成功地破坏了工业控制系统,他们使用窃取的凭证来执行代码。
 
所以,Dragos认为,Electrum是目前ICS行业中最有能力和最复杂的威胁活动集团之一,并在其报告中,着重警告说:“北美电力公司应将Electrum视为严重威胁。”

此报告的发布,对于美国来说,是一声雷鸣般的警钟。国家级黑客军团的阴霾笼罩着北美乃至整个美国的上空。而这也印证了早期多数军事和网络安全专家的预判:在军事力量不对等时,第五领域“网络空间”无疑将是大国博弈的最终战场。
 
而今天正是卡西姆·苏莱曼尼(Qassem Suleimani)少将被特朗普高调“暗杀”的第七天。虽然诸多专家预判这场“喧嚣”会越发趋于冷静,或者以“和平”收尾。

但智库认为,大规模的军事战争或许不会发生,但双方在网络空间这一新型战场上,将持续呈现剑拔弩张之势。而针对电力等关键基础设施的攻击,或将这场国与国的较量推向新的巅峰。

外文参考链接:

《北美对电力实体的威胁状况》
https://dragos.com/blog/industry-news/the-state-of-threats-to-electric-entities-in-north-america/
《安全公司表示,这些黑客组织正在关注电网》
https://www.zdnet.com/article/these-hacking-groups-are-eyeing-power-grids-says-security-company/

本文为国际安全智库作品 (微信公众号:guoji-anquanzhiku)

如需转载,请标注文章来源于:国际安全智库



声明:该文观点仅代表作者本人,转载请注明来自看雪