旧金山——私人网络安全研究人员称,俄罗斯黑客一直在系统性地把数百家西方石油和天然气公司,以及能源投资公司作为攻击目标。
这些攻击背后的动机似乎是商业情报。研究人员称,考虑到俄罗斯石油和天然气行业的重要性,这是一个自然而然的结论。
研究人员表示,俄罗斯黑客把相关公司作为攻击目标的手法,也让他们有机会远程操纵工业控制系统,方式与美国和以色列在2009年用"震网"(Stuxnet)电脑蠕虫病毒控制伊朗一处核设施的计算机系统,并摧毁该国五分之一的铀供应时,所采取的做法大致相同。
俄罗斯的袭击已经影响了超过84个国家的1000余家组织机构。2012年8月,位于加州欧文的安全公司CrowdStrike的研究人员首次发现了这类攻击。该公司注意到,一个异常老练、咄咄逼人的俄罗斯组织正在针对能源领域,以及医疗保健、政府机构和国防承包商作为发动攻击。
该组织被称为"活力熊"(Energetic Bear),因为其绝大部分受害者都是石油和天然气公司。CrowdStrike的研究人员认为,这些黑客得到了俄罗斯政府的支持,因为他们看上去掌握着一定资源、颇为老练,而且袭击均发生在莫斯科的工作时间。
加州山景市的电脑安全公司赛门铁克(Symantec)周一发布了一份报告。报告中详细说明了类似的结论,并增加了一个新元素——与"震网"类似的远程控制能力。
除基本的黑客手段,如发送大量包含恶意链接或附件的电子邮件外,该组织还通过所谓的"水坑式攻击"的手段,感染能源行业工作人员和投资者常去的网站。
在这种攻击中,黑客并非直接把受害者的电脑网络当做攻击目标,而是用恶意软件感染他们的目标经常访问的网站,比如中餐馆的网上菜单。在不知情的情况下,访问该网站的工作人员就会意外下载被称为恶意软件的代码,帮助黑客侵入自己的计算机网络。
研究人员称,俄罗斯黑客小心翼翼地掩盖自己的痕迹。他们用加密手法隐藏恶意软件,这样人们就很难识别他们的工具和来源。在一些个案中,研究人员发现的证据显示,这些黑客正在探查受害者电脑的核心,也就是电脑中的BIOS,即"基本输入输出系统"。不同于可以修复和升级的软件,一旦硬件被感染,电脑通常就不能用了。
上周,芬兰网络安全公司F-Secure也向其客户讲述了俄罗斯黑客组织的情况,赛门铁克将该组织命名为"蜻蜓"(Dragonfly)。
过去六个月,研究人员说该组织变得更有攻击性、更老练了。
俄罗斯黑客侵入了工控软件厂商的网络,在许多石油和能源企业用来让员工远程操作工控系统的软件中植入了所谓的"木马"(Trojan)程序。于是,石油和天然气公司下载最新版本的软件时,就会在不知情的情况下把黑客的恶意软件也下载下来。
赛门铁克、F-Secure和CrowdStrike的研究人员表示,至少有三家工控软件厂商受到了影响。第一家是工控系统远端访问工具厂商;第二家是专门生产工控设备的欧洲企业;第三家是研发风力涡轮机、天然气厂,及其他能源设施管理系统的欧洲公司。由于有保密协议,安全公司没有透露这些公司的名称。
据安全研究人员估计,已有超过250家公司下载了受感染的软件更新。
赛门铁克在周一的报告中写道,"这些行动不仅使袭击者在目标组织的网络中取得了一个滩头堡,还给他们提供了一个对受感染的工控电脑实施破坏的途径。"
尚无证据显示俄罗斯黑客组织打算利用它在一些网络中的阵地来实施破坏,赛门铁克安全应对部门的负责人凯文·黑利(Kevin Haley)在采访中说,比如炸毁石油钻井平台或发电设备。黑利说,明显的动机是更多地了解能源公司的经营、战略计划与技术。他还说,"但实施破坏的可能性是存在的。"
最近,CrowdStrike的威胁情报总监亚当·迈耶斯(Adam Meyers)说,"活力熊"已经将目标对准金融领域的公司。尤其值得一提的是,该组织还在利用水坑手法,攻击投资能源行业的一些公司经常访问的网站。
迈耶斯说,一旦有人访问受到感染的网站,黑客就会入侵他们的系统,并扫描他们的设备,以确定是否值得攻击,然后再植入先进的黑客工具。对于一些被认为没有价值的设备,黑客就会清除自己的工具,接着寻找其他目标。
"他们攻击性很强,"迈耶斯说。"也在非常小心地掩盖他们的足迹。"
翻译:陈柳、陈亦亭
纽约时报中文网
没有评论:
发表评论