我们遭遇的下一次珍珠港事件很有可能是一次网络攻击,让我们的电力系统、电网、安全系统、金融体系和政府体系都陷入瘫痪。
——美国国防部长利昂•帕内塔(Leon Panetta)
在黑客攻击关键基础设施的年代,电力公司网络上任何恶意软件感染事件都足以引起恐慌。但现实是,这种针对电力网络的渗透活动正在进一步加剧:近日,安全公司赛门铁克警告称,一系列新的黑客攻击活动不仅能够损害美国和欧洲的能源公司,还允许攻击者获得访问电网系统的权限,进而控制美国领土上的电力系统,致使其全面停电。
近日,赛门铁克公司揭示了一个新的攻击组织活动,并将其称之为“蜻蜓2.0”(Dragonfly 2.0),据悉,该组织在今年春天和夏天已经针对数十家能源公司实施攻击活动。赛门铁克表示,在超过20个攻击案例中,黑客都已经成功入侵了目标企业的网络。而在针对少数几家美国电力公司和至少一家土耳其公司的攻击活动中,赛门铁克取证分析专家发现,黑客还获得了所谓的“操作访问权限”:即控制电力公司工程师用来发送实际命令的接口,使其有能力控制美国家庭和企业的电力流。
赛门铁克安全分析师Eric Chien指出,从没有黑客组织已经表明具备控制美国电力公司系统的能力。唯一可以比较的情况就是乌克兰国家发生的电网攻击事件,这算是已知的由黑客攻击造成的大面积停电事件。
更新换代的“蜻蜓”组织
其实在乌克兰电网事件中,像FireEye和Dragos这样的安全公司都已经将嫌疑人锁定为“沙虫”(Sandworm)黑客小组,并坚称其来自俄罗斯。但是Chien却表示,赛门铁克公司并未发现“沙虫”组织与入侵活动之间存在联系。所以,其实一开始,赛门铁克也没有直接将针对美国电力公司的一系列攻击活动(包括研究人员在7月份发现的针对堪萨斯核设施进行攻击的俄罗斯黑客组织Palmetto Fusion)与“Dragonfly 2.0”联系到一起。
但是很快地,Chien注意到,Palmetto Fusion黑客组织的攻击时间线(Dragonfly被发现后在2014年末突然消失,“Palmetto Fusion”则在2015年初始开启攻击)和描述与发现的“蜻蜓”组织存在吻合之处。Chien表示,
这不太可能是一个偶然,虽然Palmetto Fusion入侵的是核电厂,而赛门铁克追踪到Dragonfly的入侵目标只是非核能公司,但是其对联网的IT网络和操作访问的控制并没有明显区分。
不过,对于这种猜测也有质疑的声音,CrowdStrike情报副总裁梅耶就曾称,两个组织的具体工具或技术上无一重合,暗示“Palmetto Fusion”行动或许是另一组织的工作。此外,思科的Talos研究小组也发现,“Palmetto Fusion”组织使用了网络钓鱼和微软“服务器消息块(SMB)”协议漏洞利用来收割受害者凭证——该技术在Dragonfly之前的行动中从未出现过。
为了介绍这一新发现的入侵活动,赛门铁克决定将其称为“Dragonfly2.0”。其实,“蜻蜓”(Dragonfly),也有些安全厂商管它叫“能量熊”(Energetic Bear)组织, 从可监测到的记录来看,是从2011年开始活跃的团伙,在2013年初转向攻击欧美的能源企业之前,“蜻蜓”之前的目标主要是美国和加拿大的军工和航空业的企业。
而该“Dragonfly 2.0”组织则至少是自2015年12月以来,便一直针对能源公司实施攻击活动,且到了2017年上半年,其针对美国、土耳其以及瑞士的攻击活动开始呈现大幅增长的趋势。
通过对这些攻击行为进行分析后发现,他们主要通过网络钓鱼电子邮件来诱骗受害者点击恶意附件——最早发现的是一封有关除夕晚会的伪造邀请函;或是利用所谓的“水坑攻击”(watering hole attacks),破坏目标习惯访问的网站来攻击受害者的电脑。
在过去,“蜻蜓”组织对电网公司的攻击主要是专注于信息收集和了解能源设施是如何运作的。然而随着新的攻击技能和工具的更新换代,该新型黑客组织似乎正使用这些知识,尝试并取得进入操作系统的机会,以便破坏它们。
在最近的成功案例中(包括针对美国和土耳其的一些电力公司的攻击),赛门铁克认为,攻击者目前的渗透能力已经足以截获实际的控制面板,操纵电力系统的操作,从而展示其破坏电网的能力。赛门铁克研究人员表示,
如果你想要实施破坏行动,你可以查看控制面板来决定自己下一步的动作,简单来说就是随意拨动某些开关,就可以轻松控制电力操作。
如果说这些黑客确实有能力造成美国大范围停电,那么他们为什么没有这么做呢?Chien认为,他们确实会造成大面积电力中断,但是他们在等待最佳的战略时机,比如,一旦发生武装冲突,或是其他潜在威胁,对美国进行停电将阻止其对另一个国家的关键基础设施实施攻击活动。Chien说,
如果这些攻击是来自另一个民族国家,那么这种攻击形式将只会便随着政治事件出现。
“蜻蜓”组织究竟是谁
“蜻蜓”黑客组织的身份非常神秘,但是从其攻击技术来看,具有很明显的国家组织的痕迹。他们的技术能力很强,能够通过不同的安全层面进行攻击。
研究人员通过对该组织在此前攻击活动中使用的恶意软件编译的时间戳分析后发现,该组织主要是在周一到周五工作,且每天的活跃时间是从上午9点到下午6点,活动时区位于东4区。据此推断,该组织成员应该是来自东欧。
此外,该黑客组织在代码中嵌入的文本字符串包含俄语和法语,其成员也许是故意混淆归因,不过也不排除确实是来自俄罗斯或法国的可能性。
加上,赛门铁克研究人员在报告中提到,该组织有能力攻击大量的组织机构、窃取敏感信息,并访问关键系统,所以其一定是经验丰富的威胁攻击者。
综合此前的相关研究,我们认为“蜻蜓“组织很可能是属于俄罗斯的黑客组织。
其实,严格来说,这已经不是俄罗斯黑客第一次针对美国电力系统实施攻击了。早在今年年初,就有报道称,在美国佛蒙特州的一家电力设施内发现了与代号“Grizzly Steppe”的俄罗斯黑客组织相关的电脑代码,但并没有用来破坏其操作。
研究人员认为,这次针对佛蒙特州公用事业公司的渗透可能只是一个测试,来查看黑客是否可以进入美国电网。如今,实锤证实他们确实有这个能力了,不知道未来他们计划如果使用这种能力呢?我想到那天,就真的像开头美国国防部长利昂•帕内塔(Leon Panetta)所说的“像经历另一场珍珠港事件”一样的灾难吧!