黑客攻击能产生多大的破坏效果?
委内瑞拉的国民可以现身说法。两个月前,委内瑞拉全国发生大规模停电事件,影响 23 个州中的 18 个州,传言这事是美国发动了黑客攻击,虽然美国没认,但是人家的国务卿跟自家总统一个做派,大喇喇地发了条推文印证了这个说法:“No food. No medicine. Now, no power. Next, no Maduro.(没吃没药没电,下一步,没总统。)”
委内瑞拉别哭,前面乌克兰的兄弟也被“袭击”过两次,传闻是俄罗斯干的。
还有很多奇奇怪怪的大规模工业袭击都是黑客干的,比如澳大利亚马卢奇污水处理厂曾被非法入侵,无线连接信号丢失、污水泵工作异常、报警器也没有报警。
这个事情有多严重?
前工程师 Vitek Boden 因不满工作续约被拒而蓄意报复,通过一台手提电脑和一个无线发射器控制150个污水泵站长达三个多月,在此期间,共计有 100 万公升的污水未经处理直接经雨水渠排入自然水系,导致当地环境受到严重破坏。
2016年,又有黑客利用美国宾夕法尼亚州哈里斯堡市一家自来水厂员工的个人电脑入侵了该厂负责水过滤的电脑系统,并在水过滤电脑上安装间谍软件,利用受感染主机向外发送电子邮件和盗版软件,与此同时,黑客还修改了该电脑的登录密码,致使水厂管理员也不能够进入操作系统。
不是水,就是电,还有工厂什么的,都是关键的工业基础设施,这比破解个摄像头密码,分分钟来场不可描述的直播更可怕(当然,这也很可怕)。
黑客们到底用了什么厉害的武器搞这些攻击?我们来盘点一下:
1.Stuxnet:工控网络攻击的里程碑
Stuxnet(又称作超级工厂、震网,双子),是 Windows 平台上的恶意代码,于 2010 年 6 月被白俄罗斯的一家安全公司(VirusBlokAda)发现。因为恶意代码中包含“stux”字符,所以被命名为“震网病毒(Stuxnet)”。Stuxnet利用西门子公司控制系统(SIMATIC WinCC/Step7)存在的漏洞感染数据采集与监控系统(SCADA),向可编程逻辑控制器(PLC)写入代码并将代码隐藏。因其代码及其复杂攻击手法极其隐蔽,也被称为有史以来最复杂的网络武器,同时它也是全球首个在工控领域投入实战并取得胜利的网络武器。
该病毒 60% 的感染发生在伊朗。2012 年 6 月 1 日,美国《纽约时报》的一篇报道也证实了这一研究结果。报道内容大致如下:Stuxnet病毒起源于 2006 年前后,由美国总统小布什启动的“奥运会计划”,是美国国家安全局外交事务局(FAD)在以色列协助下研发,旨在减缓伊朗的核计划,从而避免采取高风险的空袭。2008年,奥巴马上任后下令加速该计划。
据估计,“震网”病毒使伊朗的核计划延迟了至少2年。事后发现,在 2011 年以色列国防军第19任总参谋长加比•阿什克纳齐的退役晚宴中的一段视频显示,Stuxnet 被以色列国防军当作一次胜利。
2013 年 5 月,Edward Snowden 在接受采访中透露:美国国家安全局(NSA)和以色列联手开发了破坏伊朗铀浓缩设备的 Stuxnet。在2009年至2010年,Stuxnet渗入伊朗核设施网络,用于改变数千台离心机发动机的运转速度。这种突然的改变发动机转速会对离心机造成无法修复的伤害,从而达到破坏伊朗核研究的目的。
2013 年 6 月,美国司法部因 Stuxnet 泄密事件开始调查美国战略司令部前负责人詹姆斯卡特赖特(James Cartwright)将军。联邦调查人员怀疑卡特赖特向“纽约时报”记者泄露了该行动的细节,詹姆斯卡特赖特当即否认这一指控,但是,在 2016 年 10 月 17 日,卡特赖特在美国哥伦比亚特区地方法院认罪。2017 年 1 月 17 日,巴拉克•奥巴马(Barack Obama)总统赦免了他,从而使他无罪。
根据纽约时报关于 Stuxnet 的报道,结合在任时间窗口和个人背景,其推测 ,Stuxnet 的实际的执行者有可能是前 CIA 将军迈克尔•海登(Michael Hayden)。直到今天也没有人正式承认或否认这次对伊朗的网络打击这是谁干的,因为即便是现在 Stuxnet 仍然具有攻击性,甚至有可能已经升级成为隐蔽性更好,破坏力更强大的更高级的病毒。
2.Duqu-Stuxnet 之子
Duqu(毒区)在 2011 年 9 月 1 日,于布达佩斯技术经济大学的密码学与系统安全(CrySyS)实验室中被发现。由于它创建的临时文件都是以 ~DQ开头,因此被命名为 Duqu。Duqu 与 Stuxnet 有一定的相似度,它们都使用了相同的加密算法和密钥,此外,Duqu 也盗用了一家中国台湾公司(骅讯电子公司)的数字证书对恶意代码进行签名。
Duqu2.0 是在 2015 年卡巴斯基的一次安全检测中被发现的。卡巴斯基经过调查后发现,该恶意代码已经在其内部网络潜伏长达数月,进一步研究发现,入侵卡巴斯基和入侵伊朗核问题“六方会谈”承办酒店电脑的都是 Duqu2.0 。
Duqu 主要目的是刺探与伊朗核计划有关的情报。Duqu2.0 被一些安全机构认定是以色列“8200部队”的产物,被用来监视伊朗核谈判和经济制裁,因为它感染位于瑞士和奥地利酒店的计算机,这些酒店就是伊核六方会谈(“P5+1”组织成员国包括美国、俄罗斯、中国、英国、法国和德国)的国际谈判地点。
Duqu 2.0除了入侵卡巴斯基和“六方会谈”,还针对奥斯维辛-比克瑙集中营解放 70 周年的纪念活动发动了类似攻击,它的攻击目标组织还包括欧洲电信运营商,北非电信运营商和东南亚电子设备制造商等。
Duqu的攻击目的不是以破坏为主,而是潜伏并收集被攻击者的各种情报信息,为将来可能发生的网络战提供准确的情报。
3.Flame
Flame(也被称作Flamer、Da Flame、sKyWiper、Skywiper)于 2012 年 5 月 28 日被卡巴斯基披露,由卡巴斯基在国际电信联盟(ITU)的一次调查中发现。Flame是一种模块化的、可扩展的、可更新的,具有广泛隐蔽性和极强攻击性的恶意代码。在收到控制者发出的控制指令后,Flame就能够通过USB移动存储介质以及网络进行复制和传播,而发出控制指令的服务器来自世界各地。它会运用包括键盘、屏幕、麦克风、移动存储设备、网络、WIFI、蓝牙、USB和系统进程在内的所有的可能条件去收集信息。Flame还会将用户浏览的网页、通讯通话(Skype聊天记录)、账号密码以至键盘输入等记录发送给远程操控病毒的服务器。此外,即便与服务器的联系被切断,攻击者依然可通过蓝牙信号对被感染计算机进行近距离控制。功能极其丰富,覆盖了用户使用电脑的所有输入输出的接口。目前被定性为“工控病毒”。
Flame 病毒开始主要集中攻击中东地区,包括伊朗、以色列、巴勒斯坦、叙利亚、苏丹、黎巴嫩、沙特阿拉伯和埃及等国家。据统计,世界范围内受感染电脑数量大约在 1000 至 5000 台之间。
2012年6月19日,华盛顿邮报发表了一篇文章,声称 Flame 至少在5年前,由美国国家安全局、中央情报局和以色列军方联合开发,该项目据说是代号为奥运会的一部分,旨在缓伊朗发展核武器的进度,为进行网络破坏活动收集情报。
攻击伊朗的 Flame 病毒对 AutoCAD 文件、PDF 文件、TXT 文件以及 Microsoft Word 和其它 Office 格式格外关注,它还对桌面上的内容特别感兴趣,似乎在有目的的收集被感染电脑中的技术文档和图纸类情报。
4.Havex
Havex于 2013 年被发现,是一种用于攻击特定目标的远程控制木马(Remote Access Trojan,RAT)。2014年初,Havex开始对工业控制系统发起攻击,感染SCADA和工控系统中使用的工业控制软件。网络安全公司CrowdStrike披露了一项被称为“Energetic Bear”(该黑客组织也被称作蜻蜓“Dragonfly”,因此Havex也被称作Dragonfly1.0)的网络间谍活动。据 CrowdStrike 称:攻击者试图通过俄罗斯联邦渗透欧洲、美国和亚洲的能源公司计算机网络,在此次攻击中所用的恶意软件就是Havex RAT。
攻击者通过把 ICS/SCADA 制造商的网站上用来供用户下载的相关软件感染木马,当用户下载这些软件并安装时,实现对目标用户的感染。
Havex 可能是以窃取工控数据情报为目的,因为它利用 OPC 协议监视受感染主机的数据通信。而OPC协议主要是流程工业上用的比较多,例如石油石化行业,这也是为什么说Havex是针对工控行业的原因。
5.Dragonfly2.0
“Dragonfly”是著名的俄罗斯黑客组织,该黑客组织自 2010 年开始活跃,直到 2014 年被安全公司披露后,一度停止了攻击活动,但是在 2017 年 9 月,它又开始频繁活动,因为最新发现的“Dragonfly”从攻击目的和恶意代码技术上都有所提升,所以被称为“蜻蜓二代”或者“Dragonfly2.0”。目前的证据表明,实际上蜻蜓二代在 2015 年 12 月份就已经有了活动迹象。蜻蜓二代“Dragonfly2.0”和一代一样,使用多种攻击方式(恶意电子邮件、水坑攻击和合法软件捆绑)对目标进行渗透并植入恶意代码。早期的Dragonfly活动更像是处于探索性的阶段,攻击者只是试图进入目标组织的网络,Dragonfly 2.0的活动则显示了攻击者已经进入了一个新的阶段,最近的袭击活动可能为攻击者提供了访问操作系统的机会,将来可能被用于更具破坏性的攻击。
“Dragonfly”是一个专门以能源电力机构、ICS设备制造厂商、石油管道运营商等为攻击目标的黑客组织,早期攻击的目标为美国和加拿大的防务和航空公司、美国和欧洲的能源公司、大多数受害者分布在美国、西班牙、法国、意大利、德国、土耳其和波兰,而“Dragonfly2.0”则重点攻击美国和土耳其。
6.BlackEnergy
BlackEnergy 是著名的黑客 Cr4sh 创造的。在 2007 年,他声称不再开发这款木马,并且以$ 700 左右卖出源代码(流通在俄罗斯的地下网络)。最初,它被设计为一个 DDos 攻击工具,主要用于建立僵尸网络,对定向的目标实施 DDos 攻击,源码卖出后,新的开发者为其开发了各种功能的插件,以满足各种攻击需求。BlackEnergy 被不同黑客用于各自的用途,有的黑客用它发送垃圾邮件,有的黑客用来盗取银行凭证,但是,在 2008 年“俄格冲突”期间,该工具被用来对格鲁吉亚实施网络攻击,自此 BlackEnergy开始转向攻击政治目标。在 2014 年夏季, BlackEnergy 频繁对乌克兰政府及企事业单位发起攻击,通过分析发现它有一款支持对 ICS 监测控制和数据采集类的插件。这显示出 BlackEnergy 还存在的一些特别的能力,不仅仅局限于 DDOS 攻击。
其攻击目标为乌克兰的ICS,能源,政府和媒体以及全球的ICS/SCADA公司和能源公司。
2015 年 11 月 22 日凌晨,克里米亚遭乌克兰断电,近 200 万人受影响。2015 年 12 月 23 日,乌克兰电力网络受到黑客攻击,导致伊万诺-弗兰科夫斯克州 22.5 万民众失去电力供应长达 6 小时。
7.Industroyer
2017 年 6 月 12 日,一款针对电力变电站系统进行恶意攻击的工控网络攻击武器 Industroyer 被ESET披露。通过分析,我们发现该攻击武器可以直接控制断路器,可导致变电站断电。 Industroyer 恶意软件目前支持四种工控协议:IEC 60870-5-101、IEC 60870-5-104、IEC 61850以及OLE for Process Control Data Access(简称OPC DA)。这些协议广泛应用在电力调度、发电控制系统以及需要对电力进行控制行业,例如轨道交通、石油石化等重要基础设施行业,尤其是 OPC 协议作为工控系统互通的通用接口更广泛应用在各工控行业。可以看出,攻击者对于工控系统尤其是电力系统相关的工控协议有着深厚的知识背景,并且具有目标工控环境下的各种工控设备,攻击者需要这些设备来实现恶意代码的编写和测试工作。
与 2015 年袭击乌克兰电网最终导致2015年12月23日断电的攻击者使用的工具集(BlackEnergy、KillDisk、以及其他攻击模块)相比,这款恶意软件的功能意义重大,它可以直接控制开关和断路器,Industroyer 身后的黑客团队无论从技术角度还是从对目标工控系统的研究深度都远远超过了2015年12月乌克兰电网攻击背后的黑客团队。
通过对该批恶意软件的编译时间推测该恶意软件曾被利用来攻击乌克兰的变电站导致2016年12月那次半个小时的乌克兰停电事件。目前可以说 Industroyer 恶意软件是继 STUXNET、BLACKENERGY 2以及 HAVEX 之后第四款对针对工业控制系统进行攻击的工控武器。
其攻击目标为乌克兰的ICS,能源,政府和媒体以及全球的 ICS/SCAD A公司和能源公司。
据推测,2016 年 12 月那次半个小时的乌克兰停电事件是由 Industroyer 攻击导致。
8.GreyEnergy
2018 年 10 月 18 日,ESET 研究团队称发现一个新的 APT 组织 GreyEnergy,且该 APT 组织是 BlackEnergy 的继承者,因 BlackEnergy 在 2015 年引发乌克兰大停电而名声大噪,此后便销声匿迹,而GreyEnergy的活动记录也同时出现,另外,2015年同期还出现了另一个组织TeleBots(可能是2017年策划大规模NotPetya病毒的爆发的幕后黑手)。除了两者几乎同时出现之外, GreyEnergy在2016年使用的一种破坏性恶意软件Moonraker Petya。顾名思义,它与NotPetya类似,虽然不太先进,但是这表明GreyEnergy和TeleBots之间的合作,或者至少是思想和代码的交流。
ESET研究团队认为BlackEnergy演变为两个独立的组织:TeleBots 和 GreyEnergy。
GreyEnergy 主要针对乌克兰和波兰的能源部门、交通部门等高价值目标,攻击行为主要是网络侦查(即间谍行为)。GreyEnergy 与 BlackEnergy 具有很多相似之处,它也是采用模块化结构,目前已经发现的模块有:注入模块、获取系统信息模块、文件管理模块、屏幕截图模块、键盘记录模块、密码和凭证窃取模块、代理模块、ssh隧道模块等,但是至今仍未发现专门针对 ICS 的恶意软件模块。
据目前所获情报,此次攻击主要对乌克兰和波兰的能源部门及交通部门进行渗透攻击,以期获取相关数据和情报。
可能导致乌克兰和波兰的能源相关重要部门的信息泄露,内部敏感信息、相关技术资料内部网络架构等重要信息被窃取。
9.VPNFilter
VPNFilter 恶意代码是由思科 Talos 团队首次公开,因其危害极其严重,Talos并未完成全部分析。VPNFilter恶意代码旨在入侵物联网设备(路由器、网络存储设备等)从事可能由国家发起的全球性的高级恶意软件攻击。截止 2018 年 5 月 23 日,至少有 54 个国家遭入侵,已感染约 50 万台路由器。由于其核心模块文件为 VPNFilter,故该恶意代码也被命名为“VPNFilter”。FBI称此次攻击与俄罗斯政府支持的黑客组织Fancy Bear有关。Fancy Bear又称作奇幻熊、APT28、Sofacy Group、Pawn Storm、Sednit。
自 2007 年以来,Fancy Bear一直在进行网络间谍活动,入侵过北约、奥巴马白宫、法国电视台、世界反兴奋剂机构和无数非政府组织以及欧洲、中亚和高加索地区的军事和民间机构,是一个臭名昭著的黑客组织。
在 2018 年 5 月 8 日出现大规模的以乌克兰为主要目标的攻击活动,并且在 5 月 17 日乌克兰的受感染设备出现大幅度增加,这些受感染设备均受控于C&C 46.151.209.33, 看起来此次攻击目标似乎瞄准乌克兰。
乌克兰电力系统曾经受到过两次黑客攻击,并且导致了停电事故。
10.Triton
2017 年 11 月中旬,Dragos Inc.团队发现了针对 ICS 量身定做的恶意软件,并将此恶意软件命名为TRISIS(又被称为 Triton 和 HatMan),同年 12 月, FireEye 发布了 Triton 的分析报告。Triton 是首款针对安全仪表系统进行攻击的恶意软件,Triton 恶意软件旨在针对施耐德电气的工业环境中使用的 Triconex安全仪表系统(SIS)控制器,共采用 5 种不同开发语言构建,仅能在其瞄准的工业设备上执行。TRIRON恶意代码可对 SIS 系统逻辑进行重编辑,使 SIS 系统产生意外动作,对正常生产活动造成影响;能使SIS系统失效,在发生安全隐患或安全风险时无法及时实行和启动安全保护机制,从而对生产活动造成影响;还可以对DCS系统实施攻击,并通过SIS系统与DCS系统的联合作用,对工业设备、生产活动以及人员健康造成破坏。
2018 年 5 月 4 日,Dragos 公司称 Triton 背后的黑客组织 Xenotime 已经扩大了攻击范围,除了攻击施耐德电气的 Triconex 以外还针对其它的系统。
Xenotime 黑客组织可能自 2014 年开始活跃,于 2017 年成功攻击中东一家石油天然气工厂,致其工厂停运。工业网络安全和威胁情报公司 CyberX 的研究人员曾认为,Triton的幕后黑手是伊朗,但Dragos并未提供任何有能够证明此猜测的证据信息。Dragos 公司指出,尚未发现 Xenotime 与其它已知黑客组织存在关联的线索。
2018 年 10 月 23 日,FireEye 称他们发现了 Triton 恶意软件与位于莫斯科的俄罗斯政府研究机构中央化学与机械科学研究所(CNIIHM)之间的联系:样本中语言西里尔文和时区与俄罗斯相关;通过分析测试文件PDB路径的字符串,发现一段特殊字符串可能是俄罗斯信息安全社区活跃用户(从2011年开始活跃)的昵称,结合被废弃的社交媒体资料,推测出这个人是CNIIHM的教授,该教授位于莫斯科 Nagatino-Sadovniki 区的 Nagatinskaya 街附近;该研究所注册的一个IP地址(87.245.143.140)参与了Triton攻击。此外,值得一提的是CNIIHM具备开发Triton恶意软件的能力,它拥有专门研究关键基础设施保护和武器及军事装备开发的研究部门,并与广泛的其他组织合作,包括计算机科学,电气工程,国防系统和信息技术。
它的攻击至少针对一个中东地区的组织。其他使用施耐德电气的Triconex安全仪表系统(SIS)控制器的能源单位也面临被攻击的风险,据不完全统计,该型号的控制器被全球 1.8 万家工厂使用,其中包含核相关设施。
2017年其成功攻击中东一家石油天然气工厂,导致这家工厂停止运营。
雷锋网注:上述资料由启明星辰 ADLab 整理分析,雷锋网编辑