【快訊】印度核電廠被黑疑云
責編:gltian |2019-11-01 14:04:4110 月 29 日,一名推特用戶貼出一條 VirusTotal 鏈接,鏈接指向內容貌似是最近發現的 Dtrack 惡意軟件樣本。此后,有關印度泰米爾納德邦 (Tamil Nadu) 庫丹庫拉姆鎮 (Kudankulam) 核電廠遭網絡攻擊的報道甚囂塵上。
該惡意軟件中硬編碼了一條用戶名和密碼組合配置信息,其中包含庫丹庫拉姆核電廠的首字母縮寫 KKNPP。
印度網絡安全專家 Pukhraj Singh 轉發了那條推特,稱攻擊者已獲得該核電廠域控制器級別的訪問權,其他 “極端關鍵目標” 亦遭到攻擊。
Pukhraj 提到他在 9 月初發布的一條推特,其中以拉丁文 “casus belli” 宣告他見證了相當于宣戰的一起事件。之后,他澄清稱,自己注意到的其他目標甚至 “比 KKNPP 還令人驚恐”,所以他 “用了 casus belli 這么夸張的形容”。
Pukhraj 稱自己從第三方獲悉了庫丹庫拉姆核電廠入侵事件,并在 9 月 3 日通知了印度國家網絡安全協調員,后者據稱也承認了該事件。然而,一些印度官員堅決否認該核電廠發生過任何形式的網絡入侵。
Dtrack是什么?
卡巴斯基的研究人員最近在調查針對印度的 ATM 攻擊時發現了名為 Dtrack 的遠程訪問木馬 (RAT),其中用到了跟蹤記錄為 ATMDtrack 的一款惡意軟件。
Dtrack 是用于監視受害目標的遠程訪問木馬,可在目標計算機上安裝多個惡意模塊,包括:
- 鍵盤記錄器,
- 瀏覽器歷史竊取器,
- 主機 IP 地址、可用網絡及活躍連接信息、活躍進程列表和可用磁盤卷上所有文件列表的收集功能。
Dtrack 可使遠程攻擊者能夠將文件下載到受害計算機上,執行惡意指令,從受害計算機上傳數據至攻擊者控制下的遠程服務器等。
Dtrack 代碼分析暴露出該攻擊與早前一次黑客行動的相似性,而那次攻擊行動與疑似朝鮮黑客組織 Lazarus 相關。
卡巴斯基宣稱,Dtrack 惡意軟件早在 9 月初便用于攻擊印度金融及研究機構,可使攻擊者收集和盜取被黑系統上的信息,包括擊鍵記錄、瀏覽器歷史、IP 地址、網絡信息、活躍進程和文件等。
印度國有企業印度核電公司的回應
在對最初的媒體報道的回應中,印度國有企業印度核電公司 (NPCIL) 在 10 月 29 日發布官方聲明,否認該核電廠的控制系統遭到任何網絡攻擊。
NPCIL 的聲明中寫道:
我們要澄清,庫丹庫拉姆核電廠和其他印度核電廠控制系統是獨立的,沒有連接外部網絡和互聯網。對核電廠控制系統的任何網絡攻擊都是不可能的。
老實說,除了 “不可能” 那部分,這份聲明沒啥錯誤,Pukhraj 也只說到管理 IT 網絡被黑,而不是控制著電廠的關鍵系統被黑,而且 Pukhraj 也確認并無控制系統受影響的任何證據。
然而,盡管主要在澄清錯誤媒體報道和震網類惡意軟件攻擊的謠言,NPCIL 卻有意無意留下了一個有待解答的重要問題:如果不是控制系統,那么到底哪些系統真被黑了呢?
當堅決否認被自家政府官方打臉后,NPCIL 于 10 月 30 日發布第二份聲明,證實確實發生了一起網絡攻擊事件,但僅限于一臺接入互聯網的管理用計算機,該計算機與核設施中任務關鍵系統是隔離的。
NPCIL 的聲明中寫道:NPCIL 系統中發現惡意軟件屬實。印度計算機應急響應小組 (CERT-In) 在 2019 年 9 月 4 日接到通告后即傳達了此事。
調查顯示,被感染 PC 屬于接入連接互聯網的網絡的一名用戶。該網絡與關鍵內部網絡隔離。這些網絡都受到持續監視。
盡管朝鮮黑客開發了這款惡意軟件,印度政府目前尚未將攻擊歸因于任何組織或國家。
攻擊可能進行到了什么程度
出于安全考慮,核電廠的控制處理技術通常都不接入互聯網,也不連接接入互聯網或外部網絡的任何其他計算機。
此類隔離系統也被稱為物理隔離計算機,常見于生產或制造環境,維持管理和運營網絡的隔離狀態。
入侵連接互聯網的管理系統并不能使黑客得以操縱物理隔離的控制系統,但肯定能使攻擊者感染接入同一網絡的其他計算機,盜取這些計算機上存儲的信息。
如果我們從意圖破壞核設施的黑客思路考慮,第一步應該是盡可能多地收集目標公司的相關信息,包括設施中所用設備的類型,用以確定跨越物理隔離的下一步路徑。
Dtrack 惡意軟件可能就是后續更大網絡攻擊的第一階段,幸運的是在造成任何混亂之前就被發現并觸發了警報。
但是,無論研究人員還是政府都沒披露該惡意軟件能夠盜取的數據類型,對這些數據的分析有助于揭示該事件的嚴重性。
卡巴斯基報告: