俄罗斯基础设施黑客团队指南
自从媒体开始报道有黑客针对十几家美国能源公共事业发起攻击,其中包括一家堪萨斯核电厂,网络安全社区就在挖掘周边证据已确定案犯。因为不知道具体案犯身份,这些黑客活动有多种可能性:逐利网络犯罪阴谋、间谍活动,或者类似造成乌克兰大停电的那种黑客行动的前期试探性攻击?
上周末,美国官员好歹解开了部分谜题,向《华盛顿邮报》透露称,能源公共事业攻击背后的黑客为俄罗斯政府服务。但该归因引发了另一问题:攻击电网的到底是俄罗斯哪一个黑客组织呢?
毕竟,俄罗斯可能是全球唯一一个,有多个知名黑客团队数年来对能源公共事业下手的国家。每个团队都有各自独特的技术、宽泛的目标范围和动机——而解密这些攻击背后的组织,可辅助确定这最近一次基础设施黑客攻击大爆发的预期结局。
随着网络安全世界的苏联问题专家对答案的探寻,我们对可能发起这些攻击的组织也有所了解。
一、能量熊(Energetic Bear)
俄罗斯黑客团队序列中的主要候选人,是被称为“能量熊”的一组网络间谍,该组织的其他花名还有:蜻蜓(DragonFly)、考拉(Kaola)、钢铁自由( Iron Liberty )。其最先是由安全公司CrowdStrike在2014年发现的,该组织最初似乎是从2010年开始不加选择地攻击几十个国家的数百个目标,用的是所谓“水坑”攻击,感染网站,植入Havex木马到访问者主机中。
很快,安全社区就发现这伙黑客有着更具体的侧重点:他们还用网络钓鱼邮件针对工业控制软件厂商,将Havex偷偷植入到客户下载中。安全公司火眼在2014年发现,该组织至少攻破了4家工控目标,可能掌握了从电网系统到制造工厂一切事物的访问权。
CrowdStrike情报副总裁亚当·梅耶称,该组织至少部分聚焦在对油气行业的大范围监视上。从天然气生产商,到往能源金融公司运送液态天然气和石油的公司,都在“能量熊”的目标范围内。
CrowdStrike还发现,该组织所有代码中含有俄语证据,而且是按莫斯科正常工作时间运作的。所有这些都表明,俄罗斯政府可能利用了该组织来保护其石油化工行业,并更好地行使其作为能源供应商的权力。“如果你威胁要切断通往某国的天然气供应,你想要知道该威胁到底有多严重,以及如何有效利用这一点。”
但安全公司指出,该组织的目标也包含有电力公共事业,“能量熊”的某些恶意软件具备扫描工业网络中基础设施设备的能力,提升了其不仅仅收集行业情报,也为未来破坏性攻击执行侦察的可能性。火眼某研究团队负责人约翰·霍特奎斯特说:“我们认为他们的目标是控制系统,而且我们不认为这背后有什么令人信服的情报原因。做这个又不是为了了解天然气价格。”
2014年夏天,在CrowdStrike、赛门铁克和其他安全公司发布了关于“能量熊”基础设施攻击的一系列分析后,该组织突然消失了。
二、沙虫(Sandworm)
只有一个俄罗斯黑客组织真正引发了现实世界的停电:网络安全分析师广泛认为,该名为“沙虫(Sandworm)”,也称为“伏都熊( Voodoo Bear )”和“电信僵尸(Telebots)”的黑客团队,一手导演了2015和2016年冬的乌克兰电力设施攻击,这些攻击使得成千上万户家庭在寒冬断电。
尽管有此独特区别,“沙虫”更广泛的目标似乎并非电力公共事业或能源产业。相反,它花了过去3年时间专门攻击乌克兰,也就是自2014年入侵了克里米亚半岛后与俄罗斯进入战争状态的国家。除了这两次断电攻击,该组织自2015年来几乎肆虐了乌克兰社会的每一个行业,摧毁了媒体公司的数百台电脑,删除或永久加密了乌克兰政府机构TB级数据,瘫痪了包括乌克兰铁路售票系统在内的基础设施。
火眼和ESET等安全公司的网络安全研究人员还指出,最近致瘫乌克兰和世界各国数千网络的NotPetya勒索软件大流行,同样符合“沙虫”用不带解密选项的“虚假”勒索软件感染受害者的历史。
但在所有这些混乱当中,“沙虫”还是显露出了对电网的特殊兴趣。火眼将该组织与2014年发现的一系列对美国能源公共事业的入侵联系在一起,这些入侵中使用的“黑色能量( Black Energy )”恶意软件,与“沙虫”随后在乌克兰断电攻击中使用的相同。
此外,火眼还基于在一台该组织C2服务器上发现的俄语文档,该组织所用的俄罗斯黑客大会上展示的一个零日漏洞,以及其非常明确的乌克兰攻击点,断定“沙虫”与俄罗斯政府有关。
上月,安全公司ESET和Dragos发布了分析报告,关于被他们称为“崩溃覆盖( Crash Override )”或“工业摧毁者(Industroyer)”的恶意软件。这是一段高度复杂、自适应、自动化电网摧毁的代码,是“沙虫”在2016年对乌克兰国家能源公司Ukrenergo旗下一个输电站攻击致其停电所用的恶意软件。
三、棕榈融合(Palmetto Fusion)
近期针对美国能源公共事业的入侵尝试,其背后的黑客组织远比“能量熊”或“沙虫”要神秘得多。该组织自2015年开始便用“水坑”和网络钓鱼攻击袭击能源公共事业,除了最近报道的美国能源公司,目标还远及爱尔兰和土耳其。但尽管与“能量熊”有很多相似性,网络安全分析师尚不能明确地将该小组与其他已知俄罗斯电网黑客团队联系在一起。
尤其是“沙虫”,看起来似乎是最不可能匹配的。火眼分析师霍特奎斯特指出,他手下的研究人员连续追踪了“沙虫”和该新组织多年了,但从未见过其行动中有什么共同技术或基础设施。《华盛顿邮报》报道,美国官方认为“棕榈融合”是俄罗斯联邦安全局的一项行动。有些研究人员认为,“沙虫”是在俄罗斯联邦军队总参谋部情报总局(GRU)支持下工作的,因为其目标专注在俄罗斯的军事敌人乌克兰身上,其早期目标也是北约组织和军事机构。
“棕榈融合”与“能量熊”的掌印也并非完全重合,虽然《纽约时报》的报道姑且将二者联系在了一起。虽然二者都针对能源产业,使用网络钓鱼和水坑攻击,CrowdStrike情报副总裁梅耶却称,具体工具或技术上二者无一重合,暗示“棕榈融合”行动或许是另一组织的工作。思科的Talos研究小组发现,该新团队使用了网络钓鱼和微软“服务器消息块(SMB)”协议漏洞利用来收割受害者凭证——该技术在“能量熊”的行动中从未出现过。
但“能量熊”被发现后在2014年末的突然消失,与“棕榈融合”在2015年初始攻击的开启,在时间节点上的衔接依然令人生疑。该时间线可能昭示着这两个组织其实就是同一个,只不过重新编译了新工具和技术以避免明显的关联。
毕竟,像“能量熊”那么系统性和高产的黑客组织,不会在被曝光后就那么简单地洗手不干了。安全公司SecureWorks同样紧密跟踪“能量熊”,其安全研究员汤姆·芬妮称:“国家情报机构才不会因这么个小挫折就放弃。我们曾推测他们会在某个时间点复出。这或许就是。”