美国司法部(DOJ)最近起诉了四名俄罗斯政府雇员。他们涉嫌网络攻击美国本土的重要基础设施,其中至少包括一座核电站。这些攻击活动似乎使用了运营技术及能源行业有史以来面临过最危险的恶意软件之一:Triton,又名Trisis。该恶意软件由俄罗斯开发。该软件于2017年攻击并导致了一家炼油厂关闭,并在2019年攻击了另一家中东炼油厂。
昨天,两份相关的起诉书(PDF版)相继被公开:一份涉及名为Evgeny Viktorovich Gladkikh的俄罗斯国防部员工,另一份涉及俄罗斯克格勃的继任者——俄罗斯联邦安全局(FSB)71330军事单位(代号“16中心”)中的三名军官。16中心是俄罗斯联邦安全局信号情报的主要工作单位,其主体由散布于莫斯科各地的无标记行政建筑和僻静的森林围墙组成,他们用庞大的卫星天线监听来自全世界的信息。因此它也被网络安全研究人员称为“蜻蜓”、“精力充沛的熊”和“蹲伏的雪人”。
针对FSB官员的1000万美元悬赏奖励
三名俄罗斯联邦安全局的负责人因涉嫌入侵炼油厂而被通缉悬赏。国务院周四表示,该悬赏计划将提供1000万美元用于收集有关这三人的信息。他们的名字分别是Pavel Aleksandrovich Akulov、Mikhail Mikhailovich Gavrilov和Marat Valeryevich Tyukov。据悉,这些人员参与了计算机入侵、电信欺诈、严重的身份盗窃以及对能源设施的破坏等一系列活动。国务院表示,由于这些危险分子所作出的破坏行为,该次悬赏奖励将标志着RFJ首次被用于悬赏外国政府安全工作人员。
Triton/Trisis
据称,Triton系统被应用于2017年5月至9月期间的竞选活动。研究人员将针对工业控制系统(ICS)进行攻击的Triton系统与用于流域攻击的Stuxnet系统和Industroyer/Crashoverride系统进行了比较。后者是针对ICS的后端程序进行攻击,其于2016年摧毁了基辅的乌克兰电网。而根据2018年的一份研究表明,Industroyer与前一年使世界各地的组织瘫痪的大规模NotPetya勒索软件有着密切的关系。
根据起诉书,在2017年5月至9月期间,俄罗斯国防部附属机构雇用的36岁计算机程序员Gladkikh参与了一场黑客攻击全球能源设施的运动。此次攻击旨在进行具有潜在灾难性影响的物理损害。据称,此次黑客袭击导致了一家外国设施两次紧急关闭。此后Gladkikh和他的同伴在2017年一起入侵了一家外国炼油厂(可能是沙特石油巨头Petro Rabigh)的系统,并在Schneider Electric(法国电工企业)生产的安全系统上安装了Triton/Trisis恶意软件,Triton实际上得名于此次网络攻击。即它首次的攻击目标就是针对Schneider Electric公司的Triconex安全仪表系统(SIS)控制器。而Triton再次出现在公众视野,则是在2019年期间被再次用来攻击一家中东公司。
司法部表示,Triton系统旨在中断炼油厂的安全系统运行,从而使ICS系统处于一种不安全的方式进行运行,造成炼油厂容易受到损坏,并且诱发危及附近人员财产安全严重后果的行为。在本案中,被告使用Triton恶意软件造成了炼油厂系统故障并导致其电气安全系统进行了两次自动紧急关闭,对炼油厂的实际经营产生了严重的影响。据称,在2018年2月至7月期间,Gladkikh和他的团队研究也曾试图破解一家拥有类似炼油厂的美国公司使用的计算机系统但是并没有获得成功。正如能源新闻媒体E&E News在2019年8月4日傍晚报道的那样,沙特阿比亚红海海岸的Petro Rabigh炼油厂经历了两次紧急关闭。在周末轮班的工程师们忘记了,即使系统受到攻击掉线,他们也应当以尽力防止气体释放和爆炸。但是据E&E新闻报道:工程师在电脑屏幕上或系统中上没有发现任何异常的东西。因此Gladkikh被指控犯有三项罪名:涉嫌共谋损坏能源设施罪,涉嫌破坏能源设施罪,以及涉嫌共谋实施计算机欺诈罪。
针对FSB官员的起诉:代号“蜻蜓”的供应链攻击
涉及FSB官员的起诉书声称,在2012年至2017年期间,Akulov、Gavrilov、Tyukov及其同谋参与了计算机入侵活动,其中就包括针对供应链的攻击,目的使俄罗斯政府努力保持对于石油和天然气公司、核电厂以及公用事业和电力传输公司等国际能源部门公司和组织的计算机网络秘密、未经授权的持续访问。具体而言,他们的目标主要是控制能源设施的软件和硬件系统,即业内所称的工业控制系统(ICS)或监督控制和数据采集系统(SCADA)。根据美国司法部的新闻稿,访问此类系统将使俄罗斯政府能够在未来的任意时间段来中断和损坏此类计算机系统。
起诉书描述了一场针对能源部门的网络攻击运动,其分成两个阶段:第一阶段是供应链攻击,安全研究人员通常称之为“蜻蜓”或“Havex”。“蜻蜓”发生在2012年至2014年之间,其影响了ICS/SCADA制造商和软件供应商的计算机网络系统。它涉嫌将Hadex远程访问木马(RAT)融入合法的软件更新中。根据工业控制系统网络应急小组(ICS-CERT)2014年的公告,Hadex RAT通过网络钓鱼活动、网站更改以及感染软件安装等方式来攻击网络供应商。ICS-CERT的顾问表示,至少有三个供应商网站在此次攻击中受损。
根据美国司法部透露内容,客户在毫无戒备的情况下进行受到Hadx感染的更新后,攻击者们将利用恶意软件为受感染的系统创建后端访问系统,并借以扫描受害者的网络来获取其他ICS/SCADA设备信息。据称,该团伙设法在美国和国外的17,000多台设备上安装了恶意软件,其中就包括电力和能源公司使用的ICS/SCADA控制器。
蜻蜓2.0:对核电站采取鱼叉式网络钓鱼攻击
在2014年至2017年期间,该运动进入了“蜻蜓 2.0”阶段。据称嫌疑人将注意力转向特定的能源部门实体以及与ICS/SCADA系统合作的个人、工程师。该阶段涉及针对500多家美国和国际公司和实体的3300多名用户的鱼叉式网络钓鱼攻击,其中也包括了核监管委员会等美国政府机构。
鱼叉式钓鱼攻击有时会获得巨大的收益,比如位于堪萨斯州伯灵顿的沃尔夫溪核运营公司的业务网络就进行了妥协,即使该公司的计算机并没有直接与ICS/SCADA设备相连接。值得注意的是该家公司经营者一座核电站。
据司法部称,此外,网络攻击者在特定网络中建立非法立足点后,其通常利用该立足点来访问受害者实体的其他计算机和网络,进而渗透到整个网络之中。蜻蜓2.0还涉及水坑攻击(一种计算机入侵手法),据称攻击者利用内容管理软件(CMS)中存在的明显漏洞来破坏托管ICS/SCADA系统和其他能源部门工程师经常访问的网站服务器。美国司法部表示:“当工程师浏览到受损的网站时,攻击者的隐藏脚本便开始部署恶意软件,试图在这些工程师登录时捕获到他们计算机上信息。”美联储表示,该运动针对美国和其他135多个国家的受害者。
FSB官员还面临着破坏能源设施财产罪、实施计算机欺诈和滥用以及共谋进行电汇欺诈的指控。Akulov和Gavrilov还被指控犯有与非法从计算机获取信息并对计算机造成损坏有关的重大电汇欺诈和计算机欺诈罪。Akulov和Gavrilov还被指控犯有三项严重身份盗窃罪。
能源公司仍然存在安全漏洞
拥有中央情报局工作经验并定期与政府机构共享分析情报的国家安全和网络安全专家LookingGlass的首席执行官Gilman Louie周五通过电子邮件告诉Threatpost,他支持对极为危险的Triton恶意软件的潜在运营商采取法律行动。他认为这是一项积极的举措,也是向全球网络犯罪和民族国家行为者发出强烈的警告信息。
当然此举也存在一些消极的方面,从最近LookingGlass的报告中我们可以发现,能源部门所遭受的威胁看起来十分严峻。主要是因为许多能源公司面对他们所遭受的威胁无动于衷,存在的系统漏洞被这些行为者利用,包括开放的端口使得网络攻击者能够获得所有的权限进行远程访问。该报告同时指出,俄罗斯黑客已经渗透到美国基础设施内部。
但LookingGlass表示,虽然白宫在公开起诉书时在传达俄罗斯人如何瞄准私营部门或关键基础设施或保护组织方面并不特别具体,但是美国政府确实注意到此类威胁,并且它正在采取行动加强私营部门的网络防御工作,并预防类似恶意活动的发生。LookingGlass说,以下是俄罗斯已经在做的一些事情,以及我们在俄罗斯进一步利用这些风险漏洞进行更大的攻击之前需要解决的问题:
n 默认密码:我们难以否认的是:人们从不更改Telnet密码,而这导致网络端口向俄罗斯人完全开放。
n 端口161-SNMP协议:简单网络管理协议(SNMP)使用端口161和端口162来发送命令和消息,而俄罗斯正在使用它来访问网络设备和基础设施。
n 端口139/445 - SMB:SMB网络端口通常用于文件共享。LookingGlass发现,俄罗斯团体已成功瞄准该端口,以进行远程访问并窃取信息。
LookingGlass还认为,上述仅是与俄罗斯直接相关的威胁行为者在美国公司内部积极利用漏洞进行破坏的几个例子。
现在不是等待核级别的网络事件发生的时候,因为网络攻击者已经渗透进入了电力基础设施。Louie说,现在是时候让公司找到漏洞并采取措施阻断威胁者进入系统。他认为特别是在俄罗斯网络攻击威胁加剧的情况下,能源部门更应该实体审查其用户的网络使用记录,并采取行动保护其外部的资产。
本文翻译自:https://threatpost.com/doj-indicts-russian-govt-employees-over-targeting-power-sector/179108/如若转载,请注明原文地址。