多年以來,全球電力基礎設施長期遭受黑客團伙的侵擾,甚至被成功入侵。但由俄羅斯軍事情報部門支持的Sandworm團伙明顯更為激進,該團伙曾在烏克蘭造成了大規模斷電。近期,高度關注電力設施安全的Dragos公司發布警告,提到與Sandworm有關聯的黑客組織多年來一直積極針對美國能源系統。
近日,工控安全廠商Dragos發布了關于工業控制系統安全現狀的年度報告,其中列出針對美國電力基礎設施系統的四大新興外國黑客團伙。Dragos公司強調,有三支新興團伙已經將矛頭指向美國工業控制系統,其中最值得關注的為被Dragos命名為Kamacite的團伙,據調查其很有可能與俄羅斯GRU下轄的Sandworm團伙有所關聯。
Dragos的研究人員稱,Kamacite以往曾擔任Sandworm的“偵察”小組,專注于在目標網絡上建立登陸點,之后再將訪問權移交給其他Sandworm黑客。Dragos還提到,自2017年以來,Kamacite長期滋擾各美國電力企業、石油與天然氣以及其他工業企業。
Dragos公司威脅情報副總裁、前美國國安局分析師Sergio Caltagirone解釋道,“該團伙一直與美國電力實體開展對抗,希望在攻擊目標的IT體系之內建立持久立足點。”過去四年以來,該團伙已經數次成功入侵美國目標設施,并至少在一段時間內保持著內部駐留能力。
Dragos提到,自2017年以來,Kamacite長期滋擾各美國電力企業、石油與天然氣以及其他工業企業。
Caltagirone表示,Dragos公司此前僅證實了Kamacite能夠成功入侵美國本土網絡,但一直沒能發現由此引發的實質性破壞事件。不過作為Kamacite的“上線”,Sandworm倒是非常高調,曾先后兩次在烏克蘭引發大規模停電——第一次是在2015年底,導致25萬烏克蘭人身陷黑暗;之后是2016年底,導致烏克蘭首都基輔部分斷電。結合過往經驗,再加上Kamacite與Sandworm之間的這層關系,令人不得不對美國電網的安全態勢感到擔憂。
Caltagirone表示,“在意識到Kamacite開始以工業網絡或者工業實體為目標之后,首先可以肯定,他們肯定不僅僅是在收集信息——必須做出更進一步的假設。Kamacite擁有可怕的工業控制系統破壞能力,也很清楚怎么把自己的入侵技巧與其他黑客攻擊組織融合起來。”
除了美國本土的電網設施入侵問題之外,Dragos還將Kamacite與一系列歐洲目標聯系起來。除廣為人知的烏克蘭電網攻擊事件之外,還包括2017年針對德國電力部門的黑客攻擊活動。Caltagirone補充道,“在2017年至2018年之間,Kamacite曾成功對西歐地區的工業環境進行過兩輪入侵。”
Dragos公司警告稱,Kamacite的主要入侵工具一直是帶有惡意載荷的魚叉式網絡釣魚郵件;此外,他們還會對微軟服務(例如Office 365與Active Directory)以及虛擬專用網絡中的云登錄憑證實施暴力破解。一旦獲得初步立足點,該團伙就會使用有效用戶賬戶維持訪問權限,再配合憑證竊取工具Mimikatz在受害者網絡之內進一步“反復橫跳”。
目前,Kamacite與Sandworm之間的關系還不十分明確,但Sandworm已經被美國國安局(NSA)與美國司法部定性為GRU下轄的74455單位。長期以來,威脅情報企業一直很難對GRU這類形跡詭秘的情報機構所下轄的各黑客團伙做出確切劃分。這一次,Dragos決定以Kamacite命名出獨立的小組,把它與另一個同Sandworm有所關聯的Electrum小組區分開來。根據Dragos的描述,Electrum屬于“影響”小組,即通過破壞性載荷實現具體影響,其“成果”包括Crash Override(又稱Industroyer)惡意軟件。這一惡意軟件曾于2016年引發基輔市停電,據猜測其可能會禁用安全系統、進而摧毀電網設備。
換句話說,Dragos希望能讓問題更加具體,嘗試將其他研究人員及政府機構所統稱的Sandworm組織劃分成Kamacite、Electrum乃至更多具體行動單位。Caltagirone認為,“其中一個團伙負責初始入侵,另一個團伙負責接力并實施破壞。我們還觀察過雙方的獨立攻擊行動,很明顯二者并不太擅長對方的工作。”
我們隨后就此事向FireEye以及CrowdStrike等其他威脅情報廠商進行了求證,但各方均表示無法證實Dragos關于Sandworm針對美國設施發動入侵的說法。唯一的支持證據,只有FireEye此前曾確認GRU下轄的APT28(又稱Fancy Bear)團伙曾針對美國組織過大規模入侵活動,這方面消息也得到聯邦調查局去年披露的通報郵件的證實。另據美國能源部發布的一份咨詢報告,Dragos當時就提到APT28團伙曾與另一支入侵小組使用同一套命令控制基礎設施,且該入侵小組曾于2019年嘗試攻擊美國的“能源實體”。鑒于APT28之前確實曾與Sandworm聯手合作,Dragos決定在新一輪報告中把2019年發現的“入侵小組”定名為Kamacite,希望更好地區分這波針對美國的多年攻擊浪潮中的各個參與方。
Dragos還在報告中提到另外三個針對美國工業控制系統的全新黑客團伙。首先是Vanadinite,其似乎與極具知名度的國家黑客團伙Winnti有所關聯。Dragos認為Vanadinite曾在攻擊當中利用ColdLock勒索軟件破壞包括能源企業在內的多個中國臺灣的目標。但Dragos同時提到,Vanadinite的攻擊范圍相當廣泛,曾借助VPN安全漏洞等多種手段向歐洲、北美以及澳大利亞等區域的全球能源、制造與運輸業目標發動侵襲。
第二個新興團伙為Talonite,其似乎同樣使用包含惡意軟件的魚叉式網絡釣魚郵件向北美電力企業發動攻勢。該團伙還與2019年由Proofpoint發現的Lookback惡意軟件釣魚攻擊有關。第三個新興團伙被Dragos命名為Stibnite,先后使用網絡釣魚網站與惡意電子郵件附件攻擊過阿塞拜疆的電力公司與風電場,但目前尚未發現其曾對美國本土設施發動過任何侵襲。
雖然在整個2020年中,這些以全球工業控制系統為目標的黑客團伙似乎沒有引起過任何實質性的破壞影響,但Dragos公司警告稱,這類團伙在數量上的不斷增長代表著一種令人擔憂的態勢。Caltagirone指出,就在今年2月初,某身份不明的黑客曾針對佛羅里達州奧德斯馬市的一家小型水處理廠發動過相對粗糙的入侵攻擊,企圖把含有過量苛性堿的自來水配送給這座擁有15000名居民的城鎮。在Caltagirone看來,這類小型基礎設施目標長期缺乏必要的網安保護,一旦遇上Kamactie這樣的專業黑客組織,即使沒有Electrum等小組的配合也很可能引發廣泛威脅。
Caltagirone還強調,即使攻擊手段不那么高明,威脅團伙的不斷增長還是會引發更多隱患。在他看來,自從“震網”(Stuxnet)用巨大的現實影響證明工業黑客攻擊的威能之后,工業控制系統類黑客團伙的數量就在持續攀升。Caltagirone最后總結道,“這類團伙持續涌現且并沒有消亡的趨勢。著眼于未來三到四年,這類黑客組織很可能達到頂峰,并帶來一場影響深遠的大災難。”