美國(guó)司法部(DOJ)最近起訴了四名俄羅斯政府雇員。他們涉嫌網(wǎng)絡(luò)攻擊美國(guó)本土的重要基礎(chǔ)設(shè)施，其中至少包括一座核電站。這些攻擊活動(dòng)似乎使用了運(yùn)營(yíng)技術(shù)及能源行業(yè)有史以來(lái)面臨過(guò)最危險(xiǎn)的惡意軟件之一：Triton，又名Trisis。該惡意軟件由俄羅斯開(kāi)發(fā)。該軟件于2017年攻擊并導(dǎo)致了一家煉油廠關(guān)閉，并在2019年攻擊了另一家中東煉油廠。

昨天，兩份相關(guān)的起訴書(shū)(PDF版)相繼被公開(kāi)：一份涉及名為Evgeny Viktorovich Gladkikh的俄羅斯國(guó)防部員工，另一份涉及俄羅斯克格勃的繼任者——俄羅斯聯(lián)邦安全局(FSB)71330軍事單位(代號(hào)“16中心”)中的三名軍官。16中心是俄羅斯聯(lián)邦安全局信號(hào)情報(bào)的主要工作單位，其主體由散布于莫斯科各地的無(wú)標(biāo)記行政建筑和僻靜的森林圍墻組成，他們用龐大的衛(wèi)星天線監(jiān)聽(tīng)來(lái)自全世界的信息。因此它也被網(wǎng)絡(luò)安全研究人員稱(chēng)為“蜻蜓”、“精力充沛的熊”和“蹲伏的雪人”。

針對(duì)FSB官員的1000萬(wàn)美元懸賞獎(jiǎng)勵(lì)

三名俄羅斯聯(lián)邦安全局的負(fù)責(zé)人因涉嫌入侵煉油廠而被通緝懸賞。國(guó)務(wù)院周四表示，該懸賞計(jì)劃將提供1000萬(wàn)美元用于收集有關(guān)這三人的信息。他們的名字分別是Pavel Aleksandrovich Akulov、Mikhail Mikhailovich Gavrilov和Marat Valeryevich Tyukov。據(jù)悉，這些人員參與了計(jì)算機(jī)入侵、電信欺詐、嚴(yán)重的身份盜竊以及對(duì)能源設(shè)施的破壞等一系列活動(dòng)。國(guó)務(wù)院表示，由于這些危險(xiǎn)分子所作出的破壞行為，該次懸賞獎(jiǎng)勵(lì)將標(biāo)志著RFJ首次被用于懸賞外國(guó)政府安全工作人員。

Triton/Trisis

據(jù)稱(chēng)，Triton系統(tǒng)被應(yīng)用于2017年5月至9月期間的競(jìng)選活動(dòng)。研究人員將針對(duì)工業(yè)控制系統(tǒng)(ICS)進(jìn)行攻擊的Triton系統(tǒng)與用于流域攻擊的Stuxnet系統(tǒng)和Industroyer/Crashoverride系統(tǒng)進(jìn)行了比較。后者是針對(duì)ICS的后端程序進(jìn)行攻擊，其于2016年摧毀了基輔的烏克蘭電網(wǎng)。而根據(jù)2018年的一份研究表明，Industroyer與前一年使世界各地的組織癱瘓的大規(guī)模NotPetya勒索軟件有著密切的關(guān)系。

根據(jù)起訴書(shū)，在2017年5月至9月期間，俄羅斯國(guó)防部附屬機(jī)構(gòu)雇用的36歲計(jì)算機(jī)程序員Gladkikh參與了一場(chǎng)黑客攻擊全球能源設(shè)施的運(yùn)動(dòng)。此次攻擊旨在進(jìn)行具有潛在災(zāi)難性影響的物理?yè)p害。據(jù)稱(chēng)，此次黑客襲擊導(dǎo)致了一家外國(guó)設(shè)施兩次緊急關(guān)閉。此后Gladkikh和他的同伴在2017年一起入侵了一家外國(guó)煉油廠(可能是沙特石油巨頭Petro Rabigh)的系統(tǒng)，并在Schneider Electric(法國(guó)電工企業(yè))生產(chǎn)的安全系統(tǒng)上安裝了Triton/Trisis惡意軟件，Triton實(shí)際上得名于此次網(wǎng)絡(luò)攻擊。即它首次的攻擊目標(biāo)就是針對(duì)Schneider Electric公司的Triconex安全儀表系統(tǒng)(SIS)控制器。而Triton再次出現(xiàn)在公眾視野，則是在2019年期間被再次用來(lái)攻擊一家中東公司。

司法部表示，Triton系統(tǒng)旨在中斷煉油廠的安全系統(tǒng)運(yùn)行，從而使ICS系統(tǒng)處于一種不安全的方式進(jìn)行運(yùn)行，造成煉油廠容易受到損壞，并且誘發(fā)危及附近人員財(cái)產(chǎn)安全嚴(yán)重后果的行為。在本案中，被告使用Triton惡意軟件造成了煉油廠系統(tǒng)故障并導(dǎo)致其電氣安全系統(tǒng)進(jìn)行了兩次自動(dòng)緊急關(guān)閉，對(duì)煉油廠的實(shí)際經(jīng)營(yíng)產(chǎn)生了嚴(yán)重的影響。據(jù)稱(chēng)，在2018年2月至7月期間，Gladkikh和他的團(tuán)隊(duì)研究也曾試圖破解一家擁有類(lèi)似煉油廠的美國(guó)公司使用的計(jì)算機(jī)系統(tǒng)但是并沒(méi)有獲得成功。正如能源新聞媒體E&E News在2019年8月4日傍晚報(bào)道的那樣，沙特阿比亞紅海海岸的Petro Rabigh煉油廠經(jīng)歷了兩次緊急關(guān)閉。在周末輪班的工程師們忘記了，即使系統(tǒng)受到攻擊掉線，他們也應(yīng)當(dāng)以盡力防止氣體釋放和爆炸。但是據(jù)E&E新聞報(bào)道：工程師在電腦屏幕上或系統(tǒng)中上沒(méi)有發(fā)現(xiàn)任何異常的東西。因此Gladkikh被指控犯有三項(xiàng)罪名：涉嫌共謀損壞能源設(shè)施罪，涉嫌破壞能源設(shè)施罪，以及涉嫌共謀實(shí)施計(jì)算機(jī)欺詐罪。

針對(duì)FSB官員的起訴：代號(hào)“蜻蜓”的供應(yīng)鏈攻擊

涉及FSB官員的起訴書(shū)聲稱(chēng)，在2012年至2017年期間，Akulov、Gavrilov、Tyukov及其同謀參與了計(jì)算機(jī)入侵活動(dòng)，其中就包括針對(duì)供應(yīng)鏈的攻擊，目的使俄羅斯政府努力保持對(duì)于石油和天然氣公司、核電廠以及公用事業(yè)和電力傳輸公司等國(guó)際能源部門(mén)公司和組織的計(jì)算機(jī)網(wǎng)絡(luò)秘密、未經(jīng)授權(quán)的持續(xù)訪問(wèn)。具體而言，他們的目標(biāo)主要是控制能源設(shè)施的軟件和硬件系統(tǒng)，即業(yè)內(nèi)所稱(chēng)的工業(yè)控制系統(tǒng)(ICS)或監(jiān)督控制和數(shù)據(jù)采集系統(tǒng)(SCADA)。根據(jù)美國(guó)司法部的新聞稿，訪問(wèn)此類(lèi)系統(tǒng)將使俄羅斯政府能夠在未來(lái)的任意時(shí)間段來(lái)中斷和損壞此類(lèi)計(jì)算機(jī)系統(tǒng)。

起訴書(shū)描述了一場(chǎng)針對(duì)能源部門(mén)的網(wǎng)絡(luò)攻擊運(yùn)動(dòng)，其分成兩個(gè)階段：第一階段是供應(yīng)鏈攻擊，安全研究人員通常稱(chēng)之為“蜻蜓”或“Havex”?！膀唑选卑l(fā)生在2012年至2014年之間，其影響了ICS/SCADA制造商和軟件供應(yīng)商的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。它涉嫌將Hadex遠(yuǎn)程訪問(wèn)木馬(RAT)融入合法的軟件更新中。根據(jù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急小組(ICS-CERT)2014年的公告，Hadex RAT通過(guò)網(wǎng)絡(luò)釣魚(yú)活動(dòng)、網(wǎng)站更改以及感染軟件安裝等方式來(lái)攻擊網(wǎng)絡(luò)供應(yīng)商。ICS-CERT的顧問(wèn)表示，至少有三個(gè)供應(yīng)商網(wǎng)站在此次攻擊中受損。

根據(jù)美國(guó)司法部透露內(nèi)容，客戶在毫無(wú)戒備的情況下進(jìn)行受到Hadx感染的更新后，攻擊者們將利用惡意軟件為受感染的系統(tǒng)創(chuàng)建后端訪問(wèn)系統(tǒng)，并借以掃描受害者的網(wǎng)絡(luò)來(lái)獲取其他ICS/SCADA設(shè)備信息。據(jù)稱(chēng)，該團(tuán)伙設(shè)法在美國(guó)和國(guó)外的17,000多臺(tái)設(shè)備上安裝了惡意軟件，其中就包括電力和能源公司使用的ICS/SCADA控制器。

蜻蜓2.0：對(duì)核電站采取魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊

在2014年至2017年期間，該運(yùn)動(dòng)進(jìn)入了“蜻蜓 2.0”階段。據(jù)稱(chēng)嫌疑人將注意力轉(zhuǎn)向特定的能源部門(mén)實(shí)體以及與ICS/SCADA系統(tǒng)合作的個(gè)人、工程師。該階段涉及針對(duì)500多家美國(guó)和國(guó)際公司和實(shí)體的3300多名用戶的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊，其中也包括了核監(jiān)管委員會(huì)等美國(guó)政府機(jī)構(gòu)。

魚(yú)叉式釣魚(yú)攻擊有時(shí)會(huì)獲得巨大的收益，比如位于堪薩斯州伯靈頓的沃爾夫溪核運(yùn)營(yíng)公司的業(yè)務(wù)網(wǎng)絡(luò)就進(jìn)行了妥協(xié)，即使該公司的計(jì)算機(jī)并沒(méi)有直接與ICS/SCADA設(shè)備相連接。值得注意的是該家公司經(jīng)營(yíng)者一座核電站。

據(jù)司法部稱(chēng)，此外，網(wǎng)絡(luò)攻擊者在特定網(wǎng)絡(luò)中建立非法立足點(diǎn)后，其通常利用該立足點(diǎn)來(lái)訪問(wèn)受害者實(shí)體的其他計(jì)算機(jī)和網(wǎng)絡(luò)，進(jìn)而滲透到整個(gè)網(wǎng)絡(luò)之中。蜻蜓2.0還涉及水坑攻擊(一種計(jì)算機(jī)入侵手法)，據(jù)稱(chēng)攻擊者利用內(nèi)容管理軟件(CMS)中存在的明顯漏洞來(lái)破壞托管ICS/SCADA系統(tǒng)和其他能源部門(mén)工程師經(jīng)常訪問(wèn)的網(wǎng)站服務(wù)器。美國(guó)司法部表示：“當(dāng)工程師瀏覽到受損的網(wǎng)站時(shí)，攻擊者的隱藏腳本便開(kāi)始部署惡意軟件，試圖在這些工程師登錄時(shí)捕獲到他們計(jì)算機(jī)上信息?！泵缆?lián)儲(chǔ)表示，該運(yùn)動(dòng)針對(duì)美國(guó)和其他135多個(gè)國(guó)家的受害者。

FSB官員還面臨著破壞能源設(shè)施財(cái)產(chǎn)罪、實(shí)施計(jì)算機(jī)欺詐和濫用以及共謀進(jìn)行電匯欺詐的指控。Akulov和Gavrilov還被指控犯有與非法從計(jì)算機(jī)獲取信息并對(duì)計(jì)算機(jī)造成損壞有關(guān)的重大電匯欺詐和計(jì)算機(jī)欺詐罪。Akulov和Gavrilov還被指控犯有三項(xiàng)嚴(yán)重身份盜竊罪。

能源公司仍然存在安全漏洞

擁有中央情報(bào)局工作經(jīng)驗(yàn)并定期與政府機(jī)構(gòu)共享分析情報(bào)的國(guó)家安全和網(wǎng)絡(luò)安全專(zhuān)家LookingGlass的首席執(zhí)行官Gilman Louie周五通過(guò)電子郵件告訴Threatpost，他支持對(duì)極為危險(xiǎn)的Triton惡意軟件的潛在運(yùn)營(yíng)商采取法律行動(dòng)。他認(rèn)為這是一項(xiàng)積極的舉措，也是向全球網(wǎng)絡(luò)犯罪和民族國(guó)家行為者發(fā)出強(qiáng)烈的警告信息。

當(dāng)然此舉也存在一些消極的方面，從最近LookingGlass的報(bào)告中我們可以發(fā)現(xiàn)，能源部門(mén)所遭受的威脅看起來(lái)十分嚴(yán)峻。主要是因?yàn)樵S多能源公司面對(duì)他們所遭受的威脅無(wú)動(dòng)于衷，存在的系統(tǒng)漏洞被這些行為者利用，包括開(kāi)放的端口使得網(wǎng)絡(luò)攻擊者能夠獲得所有的權(quán)限進(jìn)行遠(yuǎn)程訪問(wèn)。該報(bào)告同時(shí)指出，俄羅斯黑客已經(jīng)滲透到美國(guó)基礎(chǔ)設(shè)施內(nèi)部。

但LookingGlass表示，雖然白宮在公開(kāi)起訴書(shū)時(shí)在傳達(dá)俄羅斯人如何瞄準(zhǔn)私營(yíng)部門(mén)或關(guān)鍵基礎(chǔ)設(shè)施或保護(hù)組織方面并不特別具體，但是美國(guó)政府確實(shí)注意到此類(lèi)威脅，并且它正在采取行動(dòng)加強(qiáng)私營(yíng)部門(mén)的網(wǎng)絡(luò)防御工作，并預(yù)防類(lèi)似惡意活動(dòng)的發(fā)生。LookingGlass說(shuō)，以下是俄羅斯已經(jīng)在做的一些事情，以及我們?cè)诙砹_斯進(jìn)一步利用這些風(fēng)險(xiǎn)漏洞進(jìn)行更大的攻擊之前需要解決的問(wèn)題：

n 默認(rèn)密碼：我們難以否認(rèn)的是：人們從不更改Telnet密碼，而這導(dǎo)致網(wǎng)絡(luò)端口向俄羅斯人完全開(kāi)放。

n 端口161-SNMP協(xié)議：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)使用端口161和端口162來(lái)發(fā)送命令和消息，而俄羅斯正在使用它來(lái)訪問(wèn)網(wǎng)絡(luò)設(shè)備和基礎(chǔ)設(shè)施。

n 端口139/445 - SMB：SMB網(wǎng)絡(luò)端口通常用于文件共享。LookingGlass發(fā)現(xiàn)，俄羅斯團(tuán)體已成功瞄準(zhǔn)該端口，以進(jìn)行遠(yuǎn)程訪問(wèn)并竊取信息。

LookingGlass還認(rèn)為，上述僅是與俄羅斯直接相關(guān)的威脅行為者在美國(guó)公司內(nèi)部積極利用漏洞進(jìn)行破壞的幾個(gè)例子。

現(xiàn)在不是等待核級(jí)別的網(wǎng)絡(luò)事件發(fā)生的時(shí)候，因?yàn)榫W(wǎng)絡(luò)攻擊者已經(jīng)滲透進(jìn)入了電力基礎(chǔ)設(shè)施。Louie說(shuō)，現(xiàn)在是時(shí)候讓公司找到漏洞并采取措施阻斷威脅者進(jìn)入系統(tǒng)。他認(rèn)為特別是在俄羅斯網(wǎng)絡(luò)攻擊威脅加劇的情況下，能源部門(mén)更應(yīng)該實(shí)體審查其用戶的網(wǎng)絡(luò)使用記錄，并采取行動(dòng)保護(hù)其外部的資產(chǎn)。

本文翻譯自:https://threatpost.com/doj-indicts-russian-govt-employees-over-targeting-power-sector/179108/如若轉(zhuǎn)載，請(qǐng)注明原文地址。