2014年,一個由國家行為者支持的駭客組織被發現,該組織自2011年以來一直攻擊美國、法國、義大利、西班牙甚至德國等多個國家的能源網路(電力和石油)。當時,發現它們的賽門鐵克安全研究人員將它們命名為 Dragonfly。
第二波浪潮走得更遠
媒體的曝光似乎並沒有讓他們洩氣。經過一段時間的平靜後,這群駭客似乎在2015 年底重新開始活動,發起了名為Dragonfly 2.0 的新活動,並在2017 年加大了力度。 ,駭客已成功危及數十家能源公司的安全。
2014年,Dragonfly仍在嘗試恢復員工ID和密碼,以滲透這些公司較不重要的網路。在三年的時間裡,他們已經非常徹底地確立了自己的地位。
賽門鐵克專家表示,為了實現這一目標,駭客使用了相同的方法。已部署感染工具以透過使用者存取網路。賽門鐵克發現的第一次嘗試可以追溯到 2015 年 12 月,並採取了危險的電子郵件活動的形式……其中包含參加除夕派對的邀請。
隨後在 2016 年和 2017 年開展了其他活動。一旦打開,啟動的惡意軟體就會嘗試透過將使用者的網路憑證洩漏到外部伺服器來恢復使用者的網路憑證。
攻擊者還使用了其他技巧,例如將惡意軟體冒充合法應用程式或授權更新,特別是針對 Flash。據賽門鐵克稱,這些程序甚至有可能是透過一些社會工程來安裝的,這顯然涉及對目標公司進行長期而精確的研究和觀察。
為了確保控制這些機器並存取這些公司的網絡,Dragonfly 採取了預防措施。“通常,攻擊者會在受害者的電腦上安裝一兩個後門,以獲得遠端存取權限,並允許他們在必要時安裝其他工具”,網路安全專家解釋。
觀察、探索與控制
駭客似乎對取得控制網路的手段和觀察和了解網路的工作方式同樣感興趣。然而,賽門鐵克很清楚:Dragonfly 團隊已經有能力隨意破壞或控制這些系統。
根據賽門鐵克的說法,第二次攻擊活動最終會成功。在 2011 年至 2014 年的攻擊活動中,駭客會在能源網路的門口進行探索、測試和攔截,而 Dragonfly 2.0 將突破這些最後的牆壁,即那些保護目標公司的牆壁,並達到一個新的階段。「這是一個新階段,最近的活動可能為駭客提供對作業系統的存取權。未來可用於更具破壞性的用途”。
謹慎的是,賽門鐵克確認它無法可靠地確定 Dragonfly 的來源,但該公司保證它「顯然是一群經驗豐富的攻擊者[…]能夠危害眾多組織、竊取資訊並存取關鍵系統”。這些駭客擁有廣泛的工具、方法和資源。有些工具其實是專門針對其需求而開發的惡意軟體。
安全解決方案發行商的分析師目前無法知道 Dragonfly 正在準備什麼,但他們並不懷疑它的能力“如果目標組織決定這樣做,就會對目標組織造成實質破壞”。
法國倖免?
目前,該網路安全公司僅確認了三個目標:美國、瑞士和土耳其。因此,法國可以躲過這場浪潮。未必。賽門鐵克表示,其他國家(尤其是歐洲國家)的公司活動痕跡已被注意到,但未提供更多細節。
無論如何,蜻蜓駭客都有可能影響電力網絡,特別是透過控制一些確保其正常運作的監控工具。足以引起停電並剝奪數十萬……甚至數百萬家庭的電力。
我們可以想像,歐洲主要供應商的電力網路關閉在寒流中會造成什麼後果。為了了解這些攻擊的規模,賽門鐵克研究人員提到了 Stuxnet。該病毒旨在破壞伊朗核計劃,從 2009 年開始損害了世界各地數十家公司。
來源 :
賽門鐵克
