几天前,安全研究人员发现了一种类似震网的恶意代码:Havex,它也是被编码用作感染SCADA系统的工业控制系统,这种恶意代码可能通过使用一个按键就能够使水电大坝停运、核电站过载,甚至关闭一个国家的电网。
俄罗斯黑客入侵控制系统
从2013年开始,蜻蜓组织就以那些使用工控系统来管理电、水、油、气和数据系统的机构为攻击目标,这次间谍活动在18个月的时间里影响了几乎84个国家,但是大多数受害者机构都位于美国、西班牙、法国、意大利、德国、土耳其和波兰等国家。
2013年初在将主要目标转向美国和欧洲的能源公司之前,蜻蜓最初的目标是美国和加拿大的国防和航空企业,蜻蜓体现了国家支持操作的标志,展示了技术能力的高度。
赛门铁克称,“他们的主要目标是实施间谍活动,该团体似乎是有资源、有规模、有组织的,这无疑表明在这次恶意软件活动中有政府的参与。”根据赛门铁克发表在官方博客的博文称,蜻蜓组织的主要目标是许多国家的石油管道运营商、发电企业和其他能源工控设备提供商。
为达到通过远程控制木马(RAT)访问计算机系统的目的,蜻蜓使用不同的技术感染工业软件,包括在电子邮件、网站和第三方程序中捆绑恶意软件,这种恶意软件拥有实施破坏操作的能力,这种破坏操作可能中断多个欧洲国家的能源供应。
1000多家能源公司被袭击
某安全公司称,近来,一个称为EnergeticBear的俄罗斯黑客组织使用一种复杂的网络武器,已经使1000多家欧洲和北美能源公司受损,与震网相似,这种网络武器可以使黑客们访问到能源部门的控制系统。该黑客组织也被称为“蜻蜓”,一个至少自2011年起便开始活跃的东欧黑客团体,并且自从2013年就一直使用钓鱼网站和木马对美国和其他一些国家的能源供应商组织实施攻击。
赛门铁克指出,逾半数入侵现象在美国与西班牙发现。但塞尔维亚、希腊、罗马尼亚、波兰、土耳其、德国、意大利和法国也被列为目标。赛门铁克说:“这个‘蜻蜓’团体资源很丰富,有许多恶意软件可供其使用,能够从许多不同的方位发动攻击。这些病毒不仅让攻击者在目标组织的网络建立桥头堡,也赋予他们进行破坏的工具。”
报告描述了黑客偷偷恶意软件进入电脑在电厂,电网运营商,天然气管道公司和工业设备制造商。大多数的目标是在美国和西班牙。其余的都在欧洲。恶意软件被用来窃取文件,用户名和密码。好的情况下:黑客要有价值的信息和敏感信息。坏的情况下:他们获得了控制能力甚至破坏国家的能源供应。这些攻击背后的动机似乎是商业情报。考虑到俄罗斯石油和天然气行业的重要性,这是一个很自然的结论。
研究人员认为,这些黑客得到了俄罗斯政府的支持,因为他们看上去掌握着一定资源、颇为老练,而且袭击均发生在莫斯科的工作时间。该组织采用的攻击手段包括:钓鱼攻击,路过式下载(入侵目标经常访问的网站,植入恶意程序)。
据悉,俄罗斯黑客至少入侵了三家工控软件公司。第一家是工控系统远端访问工具厂商;第二家是专门生产工控设备的欧洲企业;第三家是研发风力涡轮机、天然气厂,及其他能源设施管理系统的欧洲公司。
工业系统被黑有什么危害?
如果一个国家石油等公司被侵入,那他们就知道了石油和天然气储备。第一他们开始钻探。如果它偷走了图纸和电网或关键的管道,他可以禁用它们造成的经济混乱或关闭它。如果以上被禁用后果可想而知。黑客攻击并不局限于能源部门。他们的恶意软件也被发现在欧洲和美国国防承包商和卫生保健提供者的网络内,以及制造商,建筑公司和大学在核能领域做研究
现代能源系统已变得越来越复杂,在传统的安全系统之外还会配备监控和数据采集(SCADA)或工业控制系统(ICS)。随着智能电网(Smartgrid)和智能电表(Smartmeter)技术的普及,更多的新能源系统将会连入物联网并暴露出各类漏洞,这给网络犯罪提供了可乘之机。同时,许多国家已经开始开放能源市场并将一些小型机构添加到电网当中,如私人水电厂、风力发电或太阳能收集器,虽然这些小型机构只占用很小一部分电网,但分散的能源输入端也对有限的IT管理资源带来了极大的挑战,若在监控中出现小规模停机就极有可能引发多米诺骨牌效应并威胁整个电网。此外,调查还指出,即便是未连接到网络的设备与系统也无法规避威胁,目前已有多起案例显示未连接网络的独立系统已遭受了攻击,因此,系统运营商与能源厂商都必须正视这个问题。
黑客组织也有可能通过攻击行为进一步发展他们的政治目标。赛门铁克研究人员已经发现这些威胁往往来自于世界各地,有的时候甚至也会来自于公司内部的知情人员,他们熟悉内部系统,可以借助攻击进行敲诈勒索、贿赂或报复,这类攻击常常会导致突发性错误配置或系统故障。2013年5月奥地利电网的瘫痪就是由于这样的问题。此外,针对能源行业的攻击者会试图窃取一些知识产权的新技术,如风能、核能发电机或勘探图表,而这些数据的失窃也许不会立即引发灾难性的威胁,攻击者可能会创建一个长期的战略威胁,并将其应用于未来更具破坏性的行为。
这些动机归结起来可分为以下几类:
1.赢得竞争优势:知己知彼,侵入竞争对手的内部系统,窃取机密资料。
2.取得知识产权:窃取能源科技的知识产权及研究成果,例如风力、核能发电等新技术资料。
3.敲诈勒索:窃取资料以勒索企业付款赎回。
4.抗议行动:网络罪犯组织入侵能源企业,使系统出现故障或停运,宣示抗议的诉求。
5.金钱利益:窃取能源新科技或企业内部重要的资料并待价而沽,或是通过入侵智能电网和智能电表输入错误的信息来变相窃取能源。
6.网络复仇:公司内部人员由于熟知系统弱点,可通过攻击达到勒索、贿赂或报复目的。
为了更好地应对针对能源产业的攻击,赛门铁克建议企业部署更全面的安全防护解决方案,包括安全信息与事件管理系统、出入通道过滤器、数据泄露防护、端点防护、系统防护、邮件过滤、身份验证解决方案等。