頻道欄目
首頁 > 資訊 > IT資訊 > 正文

深度揭秘:美國電網存“后門” 俄羅斯黑客隨意進出

19-01-14        來源:[db:作者]  
收藏   我要投稿

2017 年 3 月的一天早上,邁克·維泰羅(Mike Vitello)的工作電話響了。客戶想了解他們剛剛收到的一封奇怪電子郵件的更多信息。維泰羅想簽的協議是什么?附件在哪里?

維泰洛先生不知道他們在說什么。他工作的俄勒岡州建筑公司“全方位挖掘美國公司”( All-Ways Excavating US)進行了檢查。他們告訴維特洛的聯系人,這封電子郵件是偽造的,別理它。

幾個月后,美國國土安全部(U.S.Department of Homeland Security)派出了一個小組檢查該公司的電腦。一名政府特工告訴維泰洛先生的同事道恩·考克斯,你們被攻擊了,也許是俄羅斯人干的,他們試圖攻擊電網。

“他們截獲了我的每一封電子郵件,”維泰洛說。“見鬼!我只是一個無名小卒。”

“不是你的問題,這是你認識的人(干的),”考克斯女士說。

這家位于俄勒岡州塞勒姆(Salem)附近、與公用事業公司和政府機構合作的 15 人公司遭到了網絡攻擊,這是外國對美國電網發動的已知最嚴重黑客攻擊中的一次早期攻擊。這引發了如此多的警報,以至于美國官員在 2018 年初采取了不尋常的步驟,公開指責俄羅斯。

這次黑客攻擊過程的重建揭示了美國電力系統核心的一個明顯的脆弱性。黑客們不是正面攻擊公用事業公司,而是攻擊該系統不受保護的弱點——數以百計的承包商和分包商,就像上述的全方位挖掘美國公司,他們沒有理由對外國特工保持高度警惕。

在這些小小的立足點上,黑客們沿著供應鏈往上爬。一些專家認為,20 多家公用事業公司最終被黑客攻破。

該計劃的成功與其說是因為它的技術能力——盡管攻擊者確實使用了一些聰明的策略——不如說是因為它借助于模仿和欺騙來利用了可信任的業務關系。

黑客在公用事業工程師經常閱讀的在線出版物的網站上植入惡意軟件。他們寄出了帶有惡意軟件附件的假簡歷,假裝是求職者。一旦他們有了計算機網絡賬號密碼,他們就會潛入公用事業技術人員使用的隱藏門戶系統,在某些情況下進入監測和控制電流的計算機系統。

美國媒體通過文件、電腦記錄和對受影響公司的人員、現任和前任政府官員以及安全行業調查人員的采訪,復原出了這次黑客攻擊是如何發生的。

美國政府還沒有點名指出受到俄羅斯黑客攻擊的公用事業機構或其他公司名單。

美國媒體指出了一些小企業,如華盛頓州里奇菲爾德的商業承包商公司(Business Contractors Inc.),俄勒岡州泰格爾市的卡爾森測試公司(Carlson Testing Inc.),以及聯邦政府旗下的邦納維爾電力管理局(Bonneville Power Administration)和巴菲特掌管的伯克希爾哈撒韋公司旗下的太平洋公司。其中兩家被攻擊的能源公司生產向陸軍基地提供緊急電力的系統。

俄羅斯的行動引發了美國聯邦調查局和國土安全部的聯合行動,他們開始追溯襲擊者的行動步驟,并通知可能的受害者。一些公司在政府調查人員打電話來之前并不知道自己受到了攻擊,而另一些公司在美國媒體聯系之前不知道自己已成為俄羅斯攻擊目標。

前國土安全部網絡政策助理部長、現為 PaulHastings LLP 律師事務所合伙人的羅伯特·P·西爾弗斯(Robert P.Silvers)表示:“俄羅斯所做的是在不扣動扳機的情況下,為戰場做好準備。”

俄羅斯駐華盛頓大使館新聞辦公室沒有回應記者的多次置評請求。俄羅斯此前否認對美國關鍵基礎設施采取行動。

早期受害者

美國國土安全部網絡安全和通信項目助理部長珍妮特·曼夫拉(Jeanette Manfra)說,2016 年夏天,美國情報官員發現了黑客攻擊美國公用事業的跡象。這些工具和戰術表明攻擊者是俄羅斯人。曼夫拉說,情報機構通知了國土安全部。

2016 年 12 月,一名聯邦調查局(FBI)特工出現在伊利諾伊州唐斯格羅夫(Dowers Grove)的一個辦公室,距離芝加哥以西不到一小時的路程。它是 CFE 傳媒公司的總部,這是一家私營的小公司,出版《控制工程》和《咨詢指定工程師》等行業雜志。

根據 CFE 的一封電子郵件,這名特工告訴員工,“高度老練人士”已經將一個惡意文件上傳到“控制工程”的網站上。這名特工警告說,它可能被用來對他人發動敵對行動。

CFE 傳媒公司的聯合創始人史蒂夫·魯爾克(Steve Rourke)說,他的公司采取了措施修復受影響的網站。不過,據埃森哲(Accenture)旗下部門和舊金山網絡安全公司 RiskIQ 的安全研究人員稱,不久之后,攻擊者就向 CFE 媒體公司的其他網站上傳了惡意程序。

就像獅子在水坑里追逐獵物一樣,黑客跟蹤這些和其他行業網站的訪問者,希望抓住工程師和其他人,并滲透到他們工作的公司。RiskIQ 研究人員 Yonathan Klijnsma 說,俄羅斯有可能扳倒“行業中的任何人”。

根據政府對攻擊的簡報和審查惡意代碼的安全專家的說法,攻擊者在網站上植入幾行代碼,就無形中從毫無戒心的訪問者那里竊取了計算機用戶名和密碼。去年,國土安全官員在行業簡報中表示,這一策略使俄羅斯人能夠接觸到美國越來越敏感的系統。

全方位挖掘美國公司的維泰洛不知道黑客是如何進入他的電子郵件賬戶的。他不記得訪問過 CFE 的網站,也不記得點擊受攻擊的電子郵件附件。盡管如此,據研究這起黑客事件的安全公司稱,此次攻擊是俄羅斯行動的一部分。

2017 年 3 月 2 日,攻擊者利用維泰洛的賬戶向客戶發送了大量電子郵件,目的是將收件人聚集到一個被黑客秘密接管的網站。

這封電子郵件通知收件人會下載到一份文件,但后來什么也沒有發生。收件人被邀請點擊一個鏈接,說他們可以“直接下載文件”。他們設置了圈套,將收件人帶到了一個名叫 Imageliners.com 的網站上。

該網站當時由南卡羅來納州哥倫比亞(Columbia,S.C.)的網絡開發人員馬特·哈德森(Matt Hudson)注冊,最初的目的是讓人們找到做廣播配音的工作,但當時處于休眠狀態。哈德森說,他不知道俄羅斯人霸占了他的網站。

郵件發出的當天——就在維泰洛辦公室的電話在俄勒岡州響起的同一天——上述網站上的訪問活動激增,來自 300 多個 IP 地址的電腦進行了訪問,而上個月一天只有幾臺。許多人是黑客的潛在攻擊目標。

美國媒體的一項分析發現,大約 90 個 IP 地址(幫助計算機在互聯網上找到彼此的代碼)是在俄勒岡州注冊的。

目前尚不清楚受害者登陸被黑客控制的網站時看到了什么。相關服務器上的文件表明,這些文件可能會被顯示為 Dropbox 的偽造登錄頁面(Dropbox 是一種基于云的存儲服務,允許人們共享文檔和照片),目的是誘使他們交出用戶名和密碼。也有可能是黑客利用這個網站打開了進入訪客系統的后門,讓他們控制受害者的電腦。

當維泰洛意識到他的電子郵件被劫持后,他試圖警告他的聯系人不要打開他的任何電子郵件附件。黑客封鎖了這條消息。

全方位挖掘美國公司是一家政府承包商,并與包括美國陸軍工程兵部隊在內的機構競標,該公司經營著數十個聯邦政府所有的水電設施。

大約兩周后,襲擊者再次利用維泰洛的賬戶發送了大量電子郵件。

其中一個發送給了俄勒岡州林肯市的丹考夫曼挖掘公司,主題是:“請 DocuSign 簽署協議-資助項目。”

辦公室經理科琳娜·索耶(Corinna Sawyer)覺得措辭很奇怪,于是發電子郵件給維泰洛:“我剛收到你的郵件,我想你已經被黑了。”

控制維泰羅賬戶的入侵者回應道:“是我發的。”

索耶仍心存疑慮,給維特洛打了電話。維特洛告訴她,這封電子郵件和之前那封一樣,都是假的。

襲擊蔓延。

其中一家收到虛假電子郵件的公司是位于俄勒岡州科瓦利斯的一家小型專業服務公司。據該公司老板稱,那年 7 月,聯邦調查局(FBI)特工出現在公司,告訴員工他們的系統在一場針對能源公司的“廣泛攻擊行動”中遭到破壞。

3 月 2 日,在收到維泰洛的第一封偽造電子郵件后,美國國土安全部的一份調查報告稱,科瓦利斯這家公司的一名員工點擊了通往被黑客控制的語音網站的鏈接,系統提示她輸入用戶名和密碼。

據美國媒體報道,當天結束時,這些網絡黑客就在她公司的網絡中。

然后,黑客破解了該公司防火墻中的一個門戶(防火墻的作用是將敏感的內部網絡與互聯網分隔開來),并創建了一個新的帳戶,具有廣泛的管理訪問權限,黑客的行動相當隱蔽。

“我們既不知道被攻擊,也沒有抓住攻擊者。”該公司的老板說。

2017 年 6 月,黑客使用上述科瓦利斯公司的系統進行狩獵。在接下來的一個月里,他們幾十次使用土耳其、法國和荷蘭等國注冊的 IP 地址和計算機上訪問了俄勒岡公司的網絡,攻擊目標中至少包括 6 家能源公司。

在某些情況下,攻擊者只是簡單地研究新目標的網站,可能是為了未來的襲擊做準備。調查報告指出,在其他情況下,他們可能在受害者的系統中站穩腳跟。

據悉,其中兩個目標公司幫助軍隊在國內基地提供獨立的電力供應系統。

6 月 15 日,俄羅斯黑客訪問了 ReEnergy 控股公司的網站。這家可再生能源公司建造了一座小型發電廠,即使民用電網崩潰,發電廠也能讓紐約州西部的德拉姆堡(FortDrum)軍事基地運轉。德拉姆堡駐扎著美國陸軍部署最頻繁的師之一,正在考慮成為一個 36 億美元的導彈攔截系統的所在地,以讓美國東海岸避免受到洲際彈道導彈的襲擊。

一位知情人士表示,私募股權投資公司 Riverstone 控制的 ReEnergy 遭到入侵,但其發電設施沒有受到影響。一位發言人說,軍方知道這一事件,但拒絕提供更多細節。

同一天,黑客開始攻擊大西洋電力公司的網站,該公司是一家獨立的發電企業,向加拿大八個州和兩個省的十幾家公用事業公司出售電力。報告稱,除了從該網站下載文件外,攻擊者還訪問了該公司的虛擬專用網絡登錄頁面,即 VPN,這是該公司計算機系統的網關,供遠程工作的人員使用。

大西洋電力公司在一份書面聲明中說,它經常遇到網絡惡意行為,但沒有對具體細節發表評論。“據我們所知,黑客從來沒有成功地破壞公司的任何系統,”該公司說。

6 月 28 日午夜左右,黑客利用科瓦利斯公司的網絡與密歇根州一家名為 DeVange 建筑公司(擁有 20 名員工)交換電子郵件。這些郵件似乎來自一位名叫里克·哈里斯(RickHarris)的員工——這是攻擊者偽造的一個角色。

DeVange 建筑公司的電腦系統可能已經被攻破。根據安全專家和美國媒體審查的電子郵件,尋求工業控制系統工作的人士(其實根本不存在)向能源公司提出的申請來自 DeVange 電子郵件地址,電子郵件還附上了偽造的簡歷,以誘騙收件人的計算機向被黑客攻擊的服務器發送登錄信息。

美國媒體指出,至少有三家公用事業公司收到了這些電子郵件:總部位于華盛頓的富蘭克林·PUD 公司(Franklin PUD)、威斯康星州的戴蘭電力合作公司(Dairland Power Co.)和紐約州電力天然氣公司(New York State Electric??GasCorp.)。這三家公司都表示,他們知道相關黑客活動,但不認為自己是黑客活動的受害者。

DeVange 建筑公司的一名員工說,聯邦探員訪問了這家公司。該公司的所有者吉姆·貝爾(Jim Bell)拒絕談論這一事件。

當年 6 月 30 日,黑客試圖遠程訪問印第安納州的一家公司,該公司與 ReEnergy 一樣,在民用電網斷電時利用備份設備讓政府設施繼續運行。不過,印第安納州這家公司拒絕透露該公司是否遭到黑客攻擊,但表示該公司非常注重網絡安全。

該公司的網站上說,它的客戶之一是德特里克堡軍事基地,這是在美國馬里蘭州的一個陸軍基地,該基地有一個復雜的實驗室,基地的使命是保衛國家的生物武器。德特里克堡軍方官員表示,他們認真對待網絡安全問題,但拒絕進一步置評。

隨著 2017 年夏季過去,攻擊者將目標對準了幫助公用事業公司管理其計算機控制系統的公司。7 月 1 日,襲擊者利用科瓦利斯公司襲擊了兩家英國公司,即 Severn 控制有限公司和奧克蘭控制系統公司。接著,他們攻擊了西姆基斯控制系統有限公司(Simkis Control SystemsLtd.),該公司也位于英國,根據政府報告,攻擊者訪問了帳戶和控制系統的信息。

西姆基斯的網站表示,該公司銷售的工具允許技術人員遠程訪問工業控制網絡。該公司的客戶包括大型電氣設備制造商和公用事業公司,包括在英國和美國部分地區運營輸電線路的全國性電網,該公司在紐約、羅德島和馬薩諸塞州擁有公用事業公司。

到了 2017 年秋天,黑客們回到了在俄勒岡州的丹考夫曼挖掘公司,他們在 9 月 18 日侵入了該公司的網絡。

據該公司稱,黑客似乎悄悄地潛伏了一個月。隨后,在 10 月 18 日晚,該公司大約 2300 名聯系人收到了大量電子郵件。電子郵件稱“嗨,Dan 用 Dropbox 和你共享一個文件夾!”,郵件包含一個鏈接,上面寫著“查看文件夾”。

這封電子郵件的收件人包括:跨州公用事業公司太平洋公司的員工、位于俄勒岡州波特蘭的博納維爾電力管理局(Bonneville Power Administration)和陸軍工程兵部隊(ArmyCorpsofEngineers),后者管理著西北太平洋 75% 的高壓輸電線路。

聯邦官員說,攻擊者想辦法彌合公用事業的企業網絡(連接到互聯網)和關鍵控制網絡(出于安全目的與網絡隔離)之間的鴻溝。

這些“橋梁”有時以“跳箱”的形式出現,所謂跳箱是一種讓技術人員在兩個系統之間移動的計算機。如果沒有很好的防御,這些交界處可以讓網絡特工在護城河下面挖隧道。

在去年夏天給公用事業公司的簡報中,國土安全部工業控制系統網絡安全主管喬納森·荷馬(Jonathan Hmer)表示,俄羅斯人通過保護不力的跳箱滲透到公用事業的控制系統領域。他在一次簡報中說,襲擊者擁有“與技術人員一樣的合法權限”,并有能力采取暫時切斷電力等行動。

太平洋公司表示,它采取了多層次的風險管理方法,沒有受到任何攻擊活動的影響。

博納維爾電力管理局的的首席信息安全官加里·多德(Gary Dodd)說,他不認為自己所在的公用事業設施被破壞了,盡管它似乎收到了來自全方位挖掘美國公司和丹考夫曼公司的可疑電子郵件。“有可能有什么東西進來了,但我真的不這么認為,”他說。

美國陸軍工程兵部隊表示,它不會對網絡安全問題發表評論。

對外公開

美國政府在 2017 年 10 月的一份咨詢意見中警告公眾注意黑客活動。美國政府認為黑客攻擊和神秘組織有關系,該組織有時被稱為蜻蜓或“活力熊”,安全研究人員認為這些黑客組織和俄羅斯政府有關系。

2018 年 3 月,美國更進一步,發布了一份報告,將敵對活動的責任歸咎于為俄羅斯政府工作的“網絡行為者”,稱他們自 2016 年 3 月以來一直十分活躍。一般而言,各國政府通常不會透露參與網絡攻擊的國家的名字,也不會泄露他們所知道的信息。

2018 年 4 月,美國聯邦調查局致函至少兩家公司,稱它們似乎收到了來自全方位挖掘美國公司的維泰洛的惡意電子郵件。

其中之一是華盛頓州里奇菲爾德的商業承包商公司,該承包商幫助博納維爾電力管理局翻修了一間辦公室。該公司總裁埃里克·錢恩(Eric Money)表示,員工們認為他們擋住了被攻擊或污染的電子郵件。但美國媒體發現,在襲擊發生的當天,一臺該公司 IP 地址的電腦訪問了被黑客控制的網站。

聯邦調查局通知的另一家公司——俄勒岡州蒂卡爾的卡爾森測試公司已經為包括波特蘭通用電氣公司、太平洋公司、西北天然氣公司和博納維爾電力管理局在內的公用事業公司開展工作。

總部位于加州的網絡安全公司賽門鐵克公司(Symantec Corp.)的安全響應技術總監維克拉姆·塔庫爾(Vikram Thakur)說,他的公司從其公用事業客戶和與其合作的其他安全公司那里得知,至少有 60 家公用事業公司成為攻擊目標,包括一些美國以外的公用事業公司。他說,大約有 20 多家公司被最終攻破。

他補充說,黑客的滲透深度足以達到八家或更多的公用事業公司的工業控制系統。他拒絕透露他們的名字。

美國政府不確定有多少公用事業公司和供應商在俄羅斯的襲擊中受到損害。

俄勒岡州比弗頓的 Vak 建筑工程服務公司(Vak Construction Engineering Services)總裁韋洛·科伊夫(Vello Koiv)說,他公司的某個人從一封被污染的電子郵件中上鉤,但公司的計算機技術人員發現了這個問題,因此“這并不是一個全面的事件”。該公司為陸軍部隊、太平洋公司、邦納維爾和華盛頓州斯波坎的公用事業公司 Avista Corp 分包合同。Avista 公司則表示,它不對網絡攻擊發表評論。

科伊夫說,他在 2018 年繼續收到被黑客攻擊的電子郵件。“不管他們是不是俄羅斯人,我都不知道。但仍有人試圖滲透到我們的服務器中。”

去年秋天,全方位挖掘美國公司再次遭到黑客攻擊。

業內專家表示,俄羅斯黑客可能仍在一些系統內潛伏,未被發現,這些黑客等待進一步的命令。

相關TAG標簽
上一篇:臺積電:絕大多數7nm客戶都會轉向6nm_IT新聞_博客園
下一篇:最后一頁
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

免费的黄色网站