美国司法部(DOJ)近日起诉了四名俄罗斯政府雇员。他们参与了对美国大陆关键基础设施的网络攻击,包括至少一座核电站。这些活动似乎使用了运营技术和能源行业所面临的最危险的恶意软件之一:Triton,又名Trisis。该恶意软件由俄罗斯开发。该软件于2017年攻击并关闭了一家炼油厂,2019年攻击并关闭了中东的一家炼油厂。昨天公开了两份相关起诉书(PDF版):一份涉及俄罗斯国防部雇员EvgenyViktorovichGladkikh,另一份涉及俄罗斯克格勃的继任者,俄罗斯联邦安全局(FSB)71330军区三名军官单位(代号“Centre16”)。16中心是俄罗斯联邦安全局信号情报的主要工作单位。它的主体由散布在莫斯科各处的没有标志的行政大楼和僻静的森林围墙组成。他们使用巨大的卫星天线来监控来自世界各地的信息。因此,它也被网络安全研究人员称为“蜻蜓”、“精力充沛的熊”和“卧虎藏龙”。俄罗斯FSB官员悬赏1000万美元,奖励因涉嫌侵入炼油厂而被通缉的俄罗斯FSB的三名负责人。美国国务院周四表示,奖励计划将提供1000万美元,以获取有关这三人的信息。他们的名字是PavelAleksandrovichAkulov、MikhailMikhailovichGavrilov和MaratValeryevichTyukov。据了解,这些人参与了计算机入侵、电汇欺诈、严重的身份盗窃和破坏能源设施。美国国务院表示,该奖项将标志着RFJ首次被用于奖励外国政府安全人员的破坏活动。Triton/Trisis声称Triton系统被用于2017年5月至9月的竞选活动。研究人员将Triton系统用于攻击工业控制系统(ICS)与Stuxnet系统和用于Watershed攻击的Industroyer/Crashoverride系统进行了比较。后者是对ICS后端的攻击,该攻击于2016年摧毁了基辅的乌克兰电网。根据2018年的一项研究,Industroyer与前一年使世界各地的组织陷入瘫痪的大规模NotPetya勒索软件密切相关。根据起诉书,在2017年5月至2017年9月期间,受雇于俄罗斯国防部下属机构的36岁计算机程序员Gladkikh参与了针对全球能源设施的黑客活动。该攻击旨在造成具有潜在灾难性后果的物理伤害。据称,黑客攻击导致一家外国设施两次紧急关闭。此后,Gladkikh等人在2017年入侵了一家外国炼油厂(可能是沙特石油巨头PetroRabigh)的系统,并在施耐德电气(法国电工公司)生产的安全系统上安装了Triton/Trisis恶意软件,实际上Triton因这次网络攻击而得名。也就是说,它的第一个攻击目标是针对施耐德电气的Triconex安全仪表系统(SIS)控制器。而Triton再次出现在公众视野中,2019年再次被用于攻击一家中东公司。Triton系统旨在扰乱炼油厂安全系统的运行,从而导致ICS系统以不安全的方式运行,留下美国司法部表示,该炼油厂容易受到损害,并引发危害附近人员和财产安全的严重后果的行为。本案中,被告利用Triton恶意软件导致炼油厂系统故障,并导致其电气安全系统两次自动紧急停机,对炼油厂的实际运行造成了严重影响。据称,在2018年2月至2018年7月期间,Gladkikh和他的研究团队还试图入侵一家拥有类似炼油厂的美国公司使用的计算机系统,但未获成功。据能源新闻媒体E&ENews2019年8月4日晚间报道,沙特阿拉伯红海沿岸的PetroRabigh炼油厂经历了两次紧急停产。周末轮班的工程师忘记了即使系统被攻击和离线,他们也应该尽一切努力防止气体泄漏和爆炸。但据E&ENews报道:工程师在计算机屏幕或系统中没有发现任何异常情况。Gladkikh被控三项共谋破坏能源设施的罪名、一项破坏能源设施的罪名以及一项共谋实施计算机欺诈的罪名。针对FSB官员的起诉书:代号为“蜻蜓”的供应链攻击涉及FSB官员的起诉书称,Akulov、Gavrilov、Tyukov及其同谋在2012年至2017年间参与了计算机入侵,其中包括针对供应链的攻击,旨在俄罗斯政府努力保持对国际能源部门公司和组织(包括石油和天然气公司、核电站以及公用事业和电力传输公司)的计算机网络的秘密、未经授权和持续访问。具体来说,他们的目标是控制能源设施的软件和硬件系统,在业内称为工业控制系统(ICS)或监控和数据采集系统(SCADA)。根据美国司法部的一份新闻稿,访问此类系统将使俄罗斯政府能够在未来的任何时候破坏和破坏此类计算机系统。起诉书描述了针对能源部门的两阶段网络攻击活动:首先是供应链攻击,通常被安全研究人员称为“蜻蜓”或“Havex”。“蜻蜓”事件发生在2012年至2014年间,影响了ICS/SCADA制造商和软件供应商的计算机网络系统。据称,它将Hadex远程访问木马(RAT)整合到合法的软件更新中。根据工业控制系统网络紧急响应小组(ICS-CERT)2014年的公告,HadexRAT通过网络钓鱼活动、网站更改和安装受感染软件来攻击网络提供商。ICS-CERT的顾问表示,至少有三个供应商网站在此次攻击中遭到破坏。据美国司法部称,在客户不知情的情况下执行受Hadx感染的更新后,攻击者将使用恶意软件为受感染的系统创建后端访问系统,并扫描受害者的网络进行访问。其他ICS/SCADA设备信息。据称,该团伙设法在美国和国外的17,000多台设备上安装了恶意软件,其中包括电力和能源公司使用的ICS/SCADA控制器。Dragonfly2.0:针对核电站的鱼叉式网络钓鱼攻击2014年至2017年,该活动进入“Dragonfly2.0”阶段。据称,嫌疑人将注意力转向了特定的能源部门实体以及使用ICS/SCADA系统的个人、工程师。这一阶段涉及针对500多家美国和国际公司和实体的3,300多名用户的鱼叉式网络钓鱼攻击,其中包括美国政府机构,如核管理委员会。鱼叉式网络钓鱼攻击有时会得到回报,例如WolfCreekNuclearOperations位于堪萨斯州伯灵顿的业务网络遭到破坏的案例,尽管该公司的计算机并未直接连接到ICS/SCADA设备。值得注意的是,该公司经营着一座核电站。此外,根据美国司法部的说法,网络攻击者在特定网络中建立非法立足点后,他们通常会利用该立足点访问其他计算机和受害实体的网络,从而渗透到整个网络。Dragonfly2.0还涉及水坑攻击(一种计算机黑客技术),据说攻击者利用内容管理软件(CMS)中的明显漏洞来破坏托管ICS/SCADA系统的服务器和能源部门工程师经常访问的其他网站。“当工程师浏览受感染的网站时,攻击者的隐藏脚本开始部署恶意软件,试图在这些工程师登录时捕获他们计算机上的信息,”美国司法部表示。该活动针对美国和超过135个国家/地区的其他受害者。FSB官员还面临对能源设施造成财产损失、计算机欺诈和滥用以及共谋进行电汇欺诈的指控。Akulov和Gavrilov还被控犯有与非法获取计算机信息并造成计算机损坏有关的重大电汇欺诈和计算机欺诈。阿库洛夫和加夫里洛夫还被控三项严重的身份盗窃罪。能源公司仍然存在安全漏洞。国家安全和网络安全专家GilmanLouie曾在中央情报局工作,并定期与政府机构分享分析情报,他周五通过电子邮件告诉Threatpost,他支持对极其危险的Triton进行恶意攻击。对软件的潜在运营商采取法律行动。他认为这是一个积极的举措,也是对全球网络犯罪分子和民族国家行为者的强烈警告。当然,此举也有不利之处,从LookingGlass最近的一份报告中我们可以看出,能源行业面临的威胁看起来很可怕。主要是因为许多能源公司对他们面临的威胁漠不关心,这些参与者利用了系统漏洞,包括允许网络攻击者获得远程访问全部权限的开放端口。报道还指出,俄罗斯黑客已经渗透到美国的基础设施中。但LookingGlass表示,虽然白宫在发布起诉书时并未具体说明俄罗斯人如何针对私营部门或关键基础设施或保护组织,但美国政府确实注意到了此类威胁,并正在采取行动加强私营部门网络防御,防止类似恶意活动发生。以下是俄罗斯已经在做的一些事情,以及在俄罗斯进一步利用这些风险漏洞进行更大规模攻击之前我们需要解决的问题,LookingGlass说:n默认密码:我们很难否认:人们从不更改Telnet密码,并且这导致网络端口对俄罗斯人完全开放。n161端口-SNMP协议:简单网络管理协议(SNMP)使用161端口和162端口发送命令和消息,俄罗斯正在使用它来访问网络设备和基础设施。n端口139/445-SMB:SMB网口通常用于文件共享。LookingGlass发现俄罗斯组织已成功瞄准该港口以获取远程访问和窃取信息。LookingGlass还认为,以上只是与俄罗斯直接相关的威胁行为者积极利用美国公司内部漏洞进行破坏的几个例子。现在不是等待核级网络事件发生的时候,因为网络攻击者已经渗透到电力基础设施中。Louie说,现在是公司发现漏洞并采取措施阻止威胁行为者进入系统的时候了。他认为,尤其是在俄罗斯网络攻击威胁日益严重的情况下,能源部门应该亲自审查其用户的网络使用记录,并采取行动保护其外部资产。本文翻译自:https://threatpost.com/doj-indicts-russian-govt-employees-over-targeting-power-sector/179108/如有转载请注明出处。
