Bleeping Computer 网站披露,美国政府起诉了四名俄罗斯政府雇员,指控他们在 2012 年至 2018 年间,参与对全球能源领域数百家公司和组织的网络攻击活动。
美国司法部周四公布了两份来自 2021 年 6 月和 8 月的起诉书,披露出受指控对象分别是俄罗斯联邦中央化学和机械科学研究所(TsNIIKhM)的一名雇员和俄罗斯联邦安全局(FSB)的三名官员。
根据美国司法部的说法,针对能源行业的黑客攻击涉及大约 135 个国家,数百个公司和组织,其中数千台计算机遭受了网络攻击。
四名俄罗斯政府雇员被起诉
根据 2021 年 6 月份的起诉书来看,受雇于 TsNIIKhM 的计算机程序员 Evgeny Viktorovich Gladkikh 和同谋,在 2017 年 5 月至 9 月期间,对中东地区一家炼油厂发动了网络攻击,导致该厂基础设施两次紧急关闭。
此次网络攻击中,他们成功入侵炼油厂系统后,在炼油厂使用的施耐德电气 Triconex Tricon PLC 上安装Triton 或 Trisis 恶意软件。恶意软件通过修改内存中的固件感染 Triconex Tricon PLC,使得攻击者能够添加额外编程,远程控制被攻击的系统。
起诉书还披露,在 2018 年 2 月至 7 月期间,该团伙曾试图入侵美国一家炼油厂的控制系统。
2021 年 8 月的起诉书,Pavel Aleksandrovich Akulov、Mikhail Mikhailovich Gavrilov 和 Marat Valeryevich Tyukov 名字被披露,据悉,他们属于 FSB 71330 军事单位或“16 中心”。
下图是四名俄罗斯政府雇员的照片:
FSB“蜻蜓”黑客活动
从起诉书内容来看,2012 年至 2017 年期间,披露的三名 FSB 雇员及其团队是多次供应链攻击的幕后黑手。他们多以石油和天然气公司、核电站,以及公用事业和电力传输公司等能源部门为目标,对其 ICS 或监控和数据采集(SCADA)系统进行渗透。
2012 年和 2014 年之间,在一次被称为“蜻蜓”或“Havex”攻击活动中,该团伙渗透到多个 ICS/SCADA 系统制造商和软件供应商网络中,并用 Havex 远程访问木马(RAT),感染合法软件,再加上后来使用的鱼叉式攻击和 "灌水 "攻击,他们用恶意软件感染美国和世界各地约 17000 多台设备。
2014年 至 2017 年期间,该团伙开始转向使用鱼叉式攻击,对包括美国核管理委员会等政府机构在内的500 多家美国和国际实体展开网络攻击。
美国司法部副部长丽莎·奥·摩纳哥表示:尽管今天公布的指控反映了过去的活动,但清楚地表明,美国企业迫切需要加强自身网络防御,时刻警醒网络攻击。
值得一提的是,美国国务院最高悬赏 1000 万美元,寻找任何可能针对美国关键基础设施攻击的线索。
参考文章:https://www.bleepingcomputer.com/news/security/us-charges-4-russian-govt-employees-with-critical-infrastructure-hacks/
