美國司法部(DOJ)最近起訴了四名俄羅斯政府雇員。他們涉嫌網(wǎng)絡(luò)攻擊美國本土的重要基礎(chǔ)設(shè)施，其中至少包括一座核電站。這些攻擊活動似乎使用了運營技術(shù)及能源行業(yè)有史以來面臨過最危險的惡意軟件之一：Triton，又名Trisis。該惡意軟件由俄羅斯開發(fā)。該軟件于2017年攻擊并導(dǎo)致了一家煉油廠關(guān)閉，并在2019年攻擊了另一家中東煉油廠。

昨天，兩份相關(guān)的起訴書(PDF版)相繼被公開：一份涉及名為Evgeny Viktorovich Gladkikh的俄羅斯國防部員工，另一份涉及俄羅斯克格勃的繼任者——俄羅斯聯(lián)邦安全局(FSB)71330軍事單位(代號“16中心”)中的三名軍官。16中心是俄羅斯聯(lián)邦安全局信號情報的主要工作單位，其主體由散布于莫斯科各地的無標(biāo)記行政建筑和僻靜的森林圍墻組成，他們用龐大的衛(wèi)星天線監(jiān)聽來自全世界的信息。因此它也被網(wǎng)絡(luò)安全研究人員稱為“蜻蜓”、“精力充沛的熊”和“蹲伏的雪人”。

針對FSB官員的1000萬美元懸賞獎勵

三名俄羅斯聯(lián)邦安全局的負(fù)責(zé)人因涉嫌入侵煉油廠而被通緝懸賞。國務(wù)院周四表示，該懸賞計劃將提供1000萬美元用于收集有關(guān)這三人的信息。他們的名字分別是Pavel Aleksandrovich Akulov、Mikhail Mikhailovich Gavrilov和Marat Valeryevich Tyukov。據(jù)悉，這些人員參與了計算機(jī)入侵、電信欺詐、嚴(yán)重的身份盜竊以及對能源設(shè)施的破壞等一系列活動。國務(wù)院表示，由于這些危險分子所作出的破壞行為，該次懸賞獎勵將標(biāo)志著RFJ首次被用于懸賞外國政府安全工作人員。

Triton/Trisis

據(jù)稱，Triton系統(tǒng)被應(yīng)用于2017年5月至9月期間的競選活動。研究人員將針對工業(yè)控制系統(tǒng)(ICS)進(jìn)行攻擊的Triton系統(tǒng)與用于流域攻擊的Stuxnet系統(tǒng)和Industroyer/Crashoverride系統(tǒng)進(jìn)行了比較。后者是針對ICS的后端程序進(jìn)行攻擊，其于2016年摧毀了基輔的烏克蘭電網(wǎng)。而根據(jù)2018年的一份研究表明，Industroyer與前一年使世界各地的組織癱瘓的大規(guī)模NotPetya勒索軟件有著密切的關(guān)系。

根據(jù)起訴書，在2017年5月至9月期間，俄羅斯國防部附屬機(jī)構(gòu)雇用的36歲計算機(jī)程序員Gladkikh參與了一場黑客攻擊全球能源設(shè)施的運動。此次攻擊旨在進(jìn)行具有潛在災(zāi)難性影響的物理損害。據(jù)稱，此次黑客襲擊導(dǎo)致了一家外國設(shè)施兩次緊急關(guān)閉。此后Gladkikh和他的同伴在2017年一起入侵了一家外國煉油廠(可能是沙特石油巨頭Petro Rabigh)的系統(tǒng)，并在Schneider Electric(法國電工企業(yè))生產(chǎn)的安全系統(tǒng)上安裝了Triton/Trisis惡意軟件，Triton實際上得名于此次網(wǎng)絡(luò)攻擊。即它首次的攻擊目標(biāo)就是針對Schneider Electric公司的Triconex安全儀表系統(tǒng)(SIS)控制器。而Triton再次出現(xiàn)在公眾視野，則是在2019年期間被再次用來攻擊一家中東公司。

司法部表示，Triton系統(tǒng)旨在中斷煉油廠的安全系統(tǒng)運行，從而使ICS系統(tǒng)處于一種不安全的方式進(jìn)行運行，造成煉油廠容易受到損壞，并且誘發(fā)危及附近人員財產(chǎn)安全嚴(yán)重后果的行為。在本案中，被告使用Triton惡意軟件造成了煉油廠系統(tǒng)故障并導(dǎo)致其電氣安全系統(tǒng)進(jìn)行了兩次自動緊急關(guān)閉，對煉油廠的實際經(jīng)營產(chǎn)生了嚴(yán)重的影響。據(jù)稱，在2018年2月至7月期間，Gladkikh和他的團(tuán)隊研究也曾試圖破解一家擁有類似煉油廠的美國公司使用的計算機(jī)系統(tǒng)但是并沒有獲得成功。正如能源新聞媒體E&E News在2019年8月4日傍晚報道的那樣，沙特阿比亞紅海海岸的Petro Rabigh煉油廠經(jīng)歷了兩次緊急關(guān)閉。在周末輪班的工程師們忘記了，即使系統(tǒng)受到攻擊掉線，他們也應(yīng)當(dāng)以盡力防止氣體釋放和爆炸。但是據(jù)E&E新聞報道：工程師在電腦屏幕上或系統(tǒng)中上沒有發(fā)現(xiàn)任何異常的東西。因此Gladkikh被指控犯有三項罪名：涉嫌共謀損壞能源設(shè)施罪，涉嫌破壞能源設(shè)施罪，以及涉嫌共謀實施計算機(jī)欺詐罪。

針對FSB官員的起訴：代號“蜻蜓”的供應(yīng)鏈攻擊

涉及FSB官員的起訴書聲稱，在2012年至2017年期間，Akulov、Gavrilov、Tyukov及其同謀參與了計算機(jī)入侵活動，其中就包括針對供應(yīng)鏈的攻擊，目的使俄羅斯政府努力保持對于石油和天然氣公司、核電廠以及公用事業(yè)和電力傳輸公司等國際能源部門公司和組織的計算機(jī)網(wǎng)絡(luò)秘密、未經(jīng)授權(quán)的持續(xù)訪問。具體而言，他們的目標(biāo)主要是控制能源設(shè)施的軟件和硬件系統(tǒng)，即業(yè)內(nèi)所稱的工業(yè)控制系統(tǒng)(ICS)或監(jiān)督控制和數(shù)據(jù)采集系統(tǒng)(SCADA)。根據(jù)美國司法部的新聞稿，訪問此類系統(tǒng)將使俄羅斯政府能夠在未來的任意時間段來中斷和損壞此類計算機(jī)系統(tǒng)。

起訴書描述了一場針對能源部門的網(wǎng)絡(luò)攻擊運動，其分成兩個階段：第一階段是供應(yīng)鏈攻擊，安全研究人員通常稱之為“蜻蜓”或“Havex”。“蜻蜓”發(fā)生在2012年至2014年之間，其影響了ICS/SCADA制造商和軟件供應(yīng)商的計算機(jī)網(wǎng)絡(luò)系統(tǒng)。它涉嫌將Hadex遠(yuǎn)程訪問木馬(RAT)融入合法的軟件更新中。根據(jù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急小組(ICS-CERT)2014年的公告，Hadex RAT通過網(wǎng)絡(luò)釣魚活動、網(wǎng)站更改以及感染軟件安裝等方式來攻擊網(wǎng)絡(luò)供應(yīng)商。ICS-CERT的顧問表示，至少有三個供應(yīng)商網(wǎng)站在此次攻擊中受損。

根據(jù)美國司法部透露內(nèi)容，客戶在毫無戒備的情況下進(jìn)行受到Hadx感染的更新后，攻擊者們將利用惡意軟件為受感染的系統(tǒng)創(chuàng)建后端訪問系統(tǒng)，并借以掃描受害者的網(wǎng)絡(luò)來獲取其他ICS/SCADA設(shè)備信息。據(jù)稱，該團(tuán)伙設(shè)法在美國和國外的17,000多臺設(shè)備上安裝了惡意軟件，其中就包括電力和能源公司使用的ICS/SCADA控制器。

蜻蜓2.0：對核電站采取魚叉式網(wǎng)絡(luò)釣魚攻擊

在2014年至2017年期間，該運動進(jìn)入了“蜻蜓 2.0”階段。據(jù)稱嫌疑人將注意力轉(zhuǎn)向特定的能源部門實體以及與ICS/SCADA系統(tǒng)合作的個人、工程師。該階段涉及針對500多家美國和國際公司和實體的3300多名用戶的魚叉式網(wǎng)絡(luò)釣魚攻擊，其中也包括了核監(jiān)管委員會等美國政府機(jī)構(gòu)。

魚叉式釣魚攻擊有時會獲得巨大的收益，比如位于堪薩斯州伯靈頓的沃爾夫溪核運營公司的業(yè)務(wù)網(wǎng)絡(luò)就進(jìn)行了妥協(xié)，即使該公司的計算機(jī)并沒有直接與ICS/SCADA設(shè)備相連接。值得注意的是該家公司經(jīng)營者一座核電站。

據(jù)司法部稱，此外，網(wǎng)絡(luò)攻擊者在特定網(wǎng)絡(luò)中建立非法立足點后，其通常利用該立足點來訪問受害者實體的其他計算機(jī)和網(wǎng)絡(luò)，進(jìn)而滲透到整個網(wǎng)絡(luò)之中。蜻蜓2.0還涉及水坑攻擊(一種計算機(jī)入侵手法)，據(jù)稱攻擊者利用內(nèi)容管理軟件(CMS)中存在的明顯漏洞來破壞托管ICS/SCADA系統(tǒng)和其他能源部門工程師經(jīng)常訪問的網(wǎng)站服務(wù)器。美國司法部表示：“當(dāng)工程師瀏覽到受損的網(wǎng)站時，攻擊者的隱藏腳本便開始部署惡意軟件，試圖在這些工程師登錄時捕獲到他們計算機(jī)上信息?！泵缆?lián)儲表示，該運動針對美國和其他135多個國家的受害者。

FSB官員還面臨著破壞能源設(shè)施財產(chǎn)罪、實施計算機(jī)欺詐和濫用以及共謀進(jìn)行電匯欺詐的指控。Akulov和Gavrilov還被指控犯有與非法從計算機(jī)獲取信息并對計算機(jī)造成損壞有關(guān)的重大電匯欺詐和計算機(jī)欺詐罪。Akulov和Gavrilov還被指控犯有三項嚴(yán)重身份盜竊罪。

能源公司仍然存在安全漏洞

擁有中央情報局工作經(jīng)驗并定期與政府機(jī)構(gòu)共享分析情報的國家安全和網(wǎng)絡(luò)安全專家LookingGlass的首席執(zhí)行官Gilman Louie周五通過電子郵件告訴Threatpost，他支持對極為危險的Triton惡意軟件的潛在運營商采取法律行動。他認(rèn)為這是一項積極的舉措，也是向全球網(wǎng)絡(luò)犯罪和民族國家行為者發(fā)出強(qiáng)烈的警告信息。

當(dāng)然此舉也存在一些消極的方面，從最近LookingGlass的報告中我們可以發(fā)現(xiàn)，能源部門所遭受的威脅看起來十分嚴(yán)峻。主要是因為許多能源公司面對他們所遭受的威脅無動于衷，存在的系統(tǒng)漏洞被這些行為者利用，包括開放的端口使得網(wǎng)絡(luò)攻擊者能夠獲得所有的權(quán)限進(jìn)行遠(yuǎn)程訪問。該報告同時指出，俄羅斯黑客已經(jīng)滲透到美國基礎(chǔ)設(shè)施內(nèi)部。

但LookingGlass表示，雖然白宮在公開起訴書時在傳達(dá)俄羅斯人如何瞄準(zhǔn)私營部門或關(guān)鍵基礎(chǔ)設(shè)施或保護(hù)組織方面并不特別具體，但是美國政府確實注意到此類威脅，并且它正在采取行動加強(qiáng)私營部門的網(wǎng)絡(luò)防御工作，并預(yù)防類似惡意活動的發(fā)生。LookingGlass說，以下是俄羅斯已經(jīng)在做的一些事情，以及我們在俄羅斯進(jìn)一步利用這些風(fēng)險漏洞進(jìn)行更大的攻擊之前需要解決的問題：

n 默認(rèn)密碼：我們難以否認(rèn)的是：人們從不更改Telnet密碼，而這導(dǎo)致網(wǎng)絡(luò)端口向俄羅斯人完全開放。

n 端口161-SNMP協(xié)議：簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)使用端口161和端口162來發(fā)送命令和消息，而俄羅斯正在使用它來訪問網(wǎng)絡(luò)設(shè)備和基礎(chǔ)設(shè)施。

n 端口139/445 - SMB：SMB網(wǎng)絡(luò)端口通常用于文件共享。LookingGlass發(fā)現(xiàn)，俄羅斯團(tuán)體已成功瞄準(zhǔn)該端口，以進(jìn)行遠(yuǎn)程訪問并竊取信息。

LookingGlass還認(rèn)為，上述僅是與俄羅斯直接相關(guān)的威脅行為者在美國公司內(nèi)部積極利用漏洞進(jìn)行破壞的幾個例子。

現(xiàn)在不是等待核級別的網(wǎng)絡(luò)事件發(fā)生的時候，因為網(wǎng)絡(luò)攻擊者已經(jīng)滲透進(jìn)入了電力基礎(chǔ)設(shè)施。Louie說，現(xiàn)在是時候讓公司找到漏洞并采取措施阻斷威脅者進(jìn)入系統(tǒng)。他認(rèn)為特別是在俄羅斯網(wǎng)絡(luò)攻擊威脅加劇的情況下，能源部門更應(yīng)該實體審查其用戶的網(wǎng)絡(luò)使用記錄，并采取行動保護(hù)其外部的資產(chǎn)。

本文翻譯自:https://threatpost.com/doj-indicts-russian-govt-employees-over-targeting-power-sector/179108/如若轉(zhuǎn)載，請注明原文地址。