俄羅斯黑客組織“蜻蜓”攻擊了西部1000多家能源公司
責編:admin |2014-07-18 13:48:20往日的網絡犯罪通常僅注重在PC機上傳播惡意代碼,并且以PC使用者為目標,不管他們是屌絲還是高富帥。而今,能源部門的各種機構已經變成網絡犯罪感興趣的目標了。
幾天前,安全研究人員發現了一種類似震網的惡意代碼:Havex,它也是被編碼用作感染SCADA系統的工業控制系統,這種惡意代碼可能通過使用一個按鍵就能夠使水電大壩停運、核電站過載,甚至關閉一個國家的電網。
俄羅斯黑客襲擊1000多家能源公司
某安全公司稱,近來,一個稱為Energetic Bear的俄羅斯黑客組織使用一種復雜的網絡武器,已經使1000多家歐洲和北美能源公司受損,與震網相似,這種網絡武器可以使黑客們訪問到能源部門的控制系統。
該黑客組織也被稱為“蜻蜓”,一個至少自2011年起便開始活躍的東歐黑客團體,并且自從2013年就一直使用釣魚網站和木馬對美國和其他一些國家的能源供應商組織實施攻擊。
賽門鐵克稱,“他們的主要目標是實施間諜活動,該團體似乎是有資源、有規模、有組織的,這無疑表明在這次惡意軟件活動中有政府的參與。”
根據賽門鐵克發表在官方博客的博文稱,蜻蜓組織的主要目標是許多國家的石油管道運營商、發電企業和其他能源工控設備提供商。
破壞操作
從2013年開始,蜻蜓組織就以那些使用工控系統來管理電、水、油、氣和數據系統的機構為攻擊目標,這次間諜活動在18個月的時間里影響了幾乎84個國家,但是大多數受害者機構都位于美國、西班牙、法國、意大利、德國、土耳其和波蘭等國家。
該博文顯示,2013年初在將主要目標轉向美國和歐洲的能源公司之前,蜻蜓最初的目標是美國和加拿大的國防和航空企業,蜻蜓體現了國家支持操作的標志,展示了技術能力的高度。
攻擊向量
為達到通過遠程控制木馬(RAT)訪問計算機系統的目的,蜻蜓使用不同的技術感染工業軟件,包括在電子郵件、網站和第三方程序中捆綁惡意軟件,這種惡意軟件擁有實施破壞操作的能力,這種破壞操作可能中斷多個歐洲國家的能源供應。
賽門鐵克在其官方博客中說,“蜻蜓攻擊者為了間諜活動已攻破了一些重要戰略意義的組織,如果他們使用了Havex的破壞能力,可能已經造成受影響國家能源供應的損害或者中斷。”
蜻蜓連接類似震網的網絡蠕蟲Havex
賽門鐵克稱,蜻蜓使用兩種黑客工具,第一個是用來收集系統信息的Backdoor.Oldrea,包括計算機的Outlook地址簿和已安裝文件及程序列表;第二個是用來上傳所竊取的數據、下載新文件并在受感染計算機上運行這些文件的Trojan.Karagany。Oldrea后門也被稱為Havex,簡而言之,Oldrea和Karagany惡意軟件族可以使網絡罪犯獲得被感染系統的后門訪問權限,同時可以轉移機密數據并下載安裝其他惡意軟件到系統中。
回顧下這個病毒系列中第一個功能強大的惡意軟件,當然是最臭名昭著的震網蠕蟲病毒Stuxnet,它被設計的目的是破壞伊朗核項目,這也是2010年國際頭條新聞。其專門針對鈾濃縮設施,使離心機失控從而造成納坦茲的工廠遭受物理破壞,成功使正在用來濃縮鈾的1000臺離心機癱瘓。