跳转至

网络专家证明美国电网已被黑客入侵

美国电网被黑客入侵

网络安全专家赛门铁克的一份报告称,一个名为“蜻蜓2.0”的黑客组织已经侵入了20家电力公司的网络。
美国电网已经被黑客入侵,但出于某种原因,这些罪犯并没有像最近在乌克兰那样关闭电力。

攻击目标在美国、土耳其和瑞士。

赛门铁克表示,黑客确实获得了控制电力设备所需的接口,凭借这个他们可以造成大范围的停电。

赛门铁克的安全分析师埃里克·钱告诉《连线》杂志:“在进行破坏和实际处于能够进行破坏的位置之间是有区别的……能够开启发电站的开关。
我们现在有证据表明这种情况可能发生在美国,除了世界上某个行为者的动机之外,没有什么能阻止这件事发生了。

当我们都在关注野火和飓风等自然灾害时,这份报告几乎被主流媒体和另类媒体忽视了。

电网攻击可能会关闭商业并摧毁我们本就不稳定的金融系统。
它可能会使我们的医疗系统瘫痪。
如果破坏是长期的,混乱将会爆发,死亡人数会迅速上升,因为我们对电力的依赖是如此之大。

黑客是怎么进入的呢?还记得约翰·波德斯塔是如何成为网络钓鱼方案的受害者,导致克林顿竞选团队被黑客入侵的吗?这次基本上也是如此。
赛门铁克报告解释说,这种情况已经持续了好几年,但今年活动急剧增加。

赛门铁克有强烈迹象表明,攻击者在美国、土耳其和瑞士的组织中有活动,并且在这些国家之外的组织中也有活动痕迹。
美国和土耳其也是蜻蜓在其早期活动中针对的国家,尽管在这次较新的活动中针对土耳其组织的重点似乎大大增加了。

就像它在2011年至2014年之间的早期活动一样,“蜻蜓2.0”使用多种感染向量来试图获得受害者网络的访问权限,包括恶意邮件、水坑攻击和特洛伊木马软件。

赛门铁克在这次重新开始的活动中发现的最早活动是2015年12月向能源部门目标发送伪装成新年前夜派对邀请的恶意邮件活动。

该组织在2016年及2017年进行了进一步的有针对性的恶意邮件活动。
这些邮件包含非常具体的与能源部门相关的内容,以及一些与一般商业问题相关的内容。
一旦打开,附加的恶意文档将试图将受害者的网络凭证泄露到目标组织外部的服务器。

今年7月,思科在博客中谈到了针对能源部门使用名为“钓鱼工厂”的工具包进行的基于电子邮件的攻击。
赛门铁克在2017年观察到的一些电子邮件也使用了“钓鱼工厂”工具包(Trojan.Phisherly),通过模板注入攻击窃取受害者的凭证。
这个工具包于2016年底在GitHub上普遍可用。

除了发送恶意邮件外,攻击者还使用水坑攻击来收集网络凭证,通过入侵那些能源部门相关人员可能访问的网站。

然后使用窃取的凭证对目标组织进行后续攻击。
在一个实例中,受害者在访问了一个被入侵的服务器后,11天后通过PowerShell在其机器上安装了“后门.Goodor”。
“后门.Goodor”为攻击者提供了对受害者机器的远程访问权限。

赛门铁克还有证据表明,伪装成Flash更新文件的文件可能被用来在目标网络上安装恶意后门——可能是通过社会工程学手段说服受害者他们需要下载Flash播放器的更新。
在访问特定网址后不久,受害者的电脑上出现了名为“install_flash_player.exe”的文件,紧接着是“后门.Karagany.B”后门。

通常,攻击者会在受害者的电脑上安装一到两个后门,以获得远程访问权限,并在必要时允许他们安装额外的工具。
“Goodor”、“Karagany.B”和“Dorshel”是使用的后门示例,还有“特洛伊.Heriplor”。

这个故事的寓意是什么?在网上要小心。

这是一次侦察任务。
那么,他们进去了但为什么什么都没做呢?根据一位专家的说法,他们只是在里面看看。
火眼安全公司的研究员约翰·赫尔特奎斯特在谈到另一次这样的入侵时说:“根据我们的经验,像这样只针对能源的目标团体一直在进行攻击前的侦察。

根据赛门铁克的报告:“蜻蜓”组织似乎对了解能源设施的运作方式以及获得运营系统本身的访问权限都感兴趣,以至于该组织现在可能有能力破坏或控制这些系统(如果它决定这么做的话)。

今年7月,黑客侵入了堪萨斯州的一个美国核电站。
从好的方面看,他们只是进入了位于堪萨斯州伯灵顿附近的沃尔夫克里克核电站的商业部分,并没有获得对控制系统的访问权限。
但他们能接近到这种程度仍然令人不安。
如果有人能够进入控制部分,他们不仅会造成停电,还可能使核安全防护失效。
埃里克·钱怀疑,虽然这次黑客攻击最初被归咎于俄罗斯人(因为,真的,有什么不被归咎于俄罗斯人的呢?),但实际上可能是“蜻蜓2.0”黑客干的。
“这极不可能只是巧合。

赛门铁克似乎相信这将导致更糟糕的情况:“破坏性攻击通常先有一个情报收集阶段,在此期间攻击者收集有关目标网络和系统的信息,并获取将在后续活动中使用的凭证……最初的‘蜻蜓’活动现在看来是一个更具探索性的阶段,攻击者只是试图获得目标组织网络的访问权限。
‘蜻蜓2.0’活动显示了攻击者可能正在进入一个新阶段,最近的活动可能为他们提供了对运营系统的访问权限,这种访问权限将来可能用于更具破坏性的目的。

谁是“蜻蜓”背后的黑手?

赛门铁克不确定谁是入侵背后的黑手,并表示他们的许多行动都是为了让确定幕后黑手变得困难。

该组织的一些活动似乎是为了让确定到底是谁在背后更加困难:“攻击者使用了更普遍可用的恶意软件和‘就地取材’的工具,如PowerShell、PsExec和Bitsadmin等管理工具,这可能是为了让归因更加困难而采取的策略。
‘钓鱼工厂’工具包于2016年在GitHub上可用,该组织使用的一个工具——Screenutil似乎也使用了CodeProject的一些代码。

攻击者也没有使用零日漏洞。
与该组织使用公开可用工具一样,这可能是故意阻碍归因的尝试,也可能表明资源匮乏。

恶意软件中的一些代码字符串是俄语的。
然而,有些也是法语的,这表明其中一种语言可能是伪装的旗帜。

相互矛盾的证据以及看起来像是错误归因的尝试使得很难明确地说这个攻击组织基于何处或谁在背后。

报告还提到了伪旗的可能性。

我们的电网已经被黑客入侵了。
赛门铁克的报告拒绝透露哪些电厂受到了损害,但似乎毫无疑问黑客能够获得对它们的运营控制的访问权限。
虽然这种情况已经持续了好几年,但他们变得越来越大胆,几乎已经准备好广泛破坏我们的电网了。

显而易见的是,“蜻蜓”是一个经验丰富的威胁行为者,能够侵入众多组织,窃取信息并获得关键系统的访问权限。
它计划如何利用所有这些情报尚不清楚,但它的能力确实包括在它选择这样做时实质性地破坏目标组织。

在去年12月乌克兰电网遭到恶意软件攻击后,大多数地方的电力在6小时内恢复。
但是……两个月后,控制系统仍然没有完全运行。
无法远程操作。
攻击后的几个月里,必须有人手动控制断路器。

在美国,情况可能不会这么顺利。
专家说,这实际上比可能发生在美国的情况要好,因为这里的许多电网控制系统没有手动备份功能,这意味着如果攻击者要破坏这里的自动化系统,工作人员恢复电力可能会更加困难。

没有手动控制?太棒了,进步了。
但乌克兰的攻击本可以更糟。

事实上,如果黑客决定物理破坏变电站设备,他们本可以做更多的破坏,这使得在停电后恢复电力变得更加困难。
美国政府在2007年演示了一次攻击,显示黑客可以通过远程发送21行恶意代码来物理破坏发电机。

今年夏天,乌克兰电网再次遭到“不是佩蒂亚”攻击,这是一种迅速蔓延全球的网络攻击。
认为我们的电网没有被黑客入侵是天真的,认为大规模网络攻击不会发生在我们身上也是天真的。
网络战是未来的战争,越来越多的证据表明这不是是否会发生的问 题,而是何时发生的问题。

引用:https://www.theorganicprepper.com/experts-prove-power-grid-hacked/
原文: https://s2.tttl.online/blog/1735972073/

图书推荐