2014年,一个由国家行为者支持的黑客组织被发现,该组织自2011年以来一直攻击美国、法国、意大利、西班牙甚至德国等多个国家的能源网络(电力和石油)。当时,发现它们的赛门铁克安全研究人员将它们命名为 Dragonfly。
第二波浪潮走得更远
媒体的曝光似乎并没有让他们泄气。经过一段时间的平静后,这群黑客似乎在 2015 年底重新开始活动,发起了名为 Dragonfly 2.0 的新活动,并在 2017 年加大了力度。据赛门铁克称,在过去的一年里,黑客已成功危及数十家能源公司的安全。
2014年,Dragonfly仍在尝试恢复员工ID和密码,以渗透这些公司不太重要的网络。三年的时间里,他们已经非常彻底地确立了自己的地位。
赛门铁克专家表示,为了实现这一目标,黑客使用了相同的方法。已部署感染工具以通过用户访问网络。赛门铁克发现的第一次尝试可以追溯到 2015 年 12 月,并采取了危险的电子邮件活动的形式……其中包含参加除夕派对的邀请。
随后在 2016 年和 2017 年开展了其他活动。这些电子邮件通常针对能源行业,包含附件。一旦打开,激活的恶意软件就会尝试通过将用户的网络凭据泄露到外部服务器来恢复用户的网络凭据。
攻击者还使用了其他技巧,例如将恶意软件冒充合法应用程序或授权更新,特别是针对 Flash。据赛门铁克称,这些程序甚至有可能是通过一些社会工程来安装的,这显然涉及对目标公司进行长期而精确的研究和观察。
为了确保控制这些机器并访问这些公司的网络,Dragonfly 采取了预防措施。“通常,攻击者会在受害者的计算机上安装一两个后门,以获得远程访问权限,并允许他们在必要时安装其他工具”,网络安全专家解释。
观察、探索和控制
黑客似乎对获取控制网络的手段和观察和了解网络的工作方式同样感兴趣。然而,赛门铁克很清楚:Dragonfly 团队已经有能力随意破坏或控制这些系统。
根据赛门铁克的说法,第二次攻击活动最终会取得成功。在 2011 年至 2014 年的攻击活动中,黑客会在能源网络的门口进行探索、测试和拦截,而 Dragonfly 2.0 将突破这些最后的墙壁,即那些保护目标公司的墙壁,并达到一个新的阶段。“这是一个新阶段,最近的活动可能为黑客提供对操作系统的访问权限。未来可用于更具破坏性的用途”。
谨慎的是,赛门铁克确认它无法可靠地确定 Dragonfly 的来源,但是该公司保证它“显然是一群经验丰富的攻击者[…]能够危害众多组织、窃取信息并访问关键系统”。这些黑客拥有广泛的工具、方法和资源。有些工具实际上是专门针对其需求而开发的恶意软件。
安全解决方案发行商的分析师目前无法知道 Dragonfly 正在准备什么,但他们并不怀疑它的能力“如果目标组织决定这样做,就会对目标组织造成实质性破坏”。
法国幸免?
目前,该网络安全公司仅确认了三个目标:美国、瑞士和土耳其。因此,法国可以躲过这场浪潮。未必。赛门铁克表示,其他国家(尤其是欧洲国家)的公司活动痕迹已被注意到,但未提供更多细节。
无论如何,蜻蜓黑客都有可能影响电力网络,特别是通过控制一些确保其正常运行的监控工具。足以引起停电并剥夺数十万……甚至数百万家庭的电力。
我们可以想象,欧洲主要供应商的电力网络关闭在寒潮中会造成什么后果。为了了解这些攻击的规模,赛门铁克研究人员提到了 Stuxnet。该病毒旨在破坏伊朗核计划,从 2009 年开始损害了世界各地数十家公司。
来源 :
赛门铁克
