美國司法部(DOJ)最近起訴了四名俄羅斯政府雇員。他們涉嫌網絡攻擊美國本土的重要基礎設施，其中至少包括一座核電站。這些攻擊活動似乎使用了運營技術及能源行業有史以來面臨過最危險的惡意軟件之一：Triton，又名Trisis。該惡意軟件由俄羅斯開發。該軟件于2017年攻擊并導致了一家煉油廠關閉，并在2019年攻擊了另一家中東煉油廠。

昨天，兩份相關的起訴書(PDF版)相繼被公開：一份涉及名為Evgeny Viktorovich Gladkikh的俄羅斯國防部員工，另一份涉及俄羅斯克格勃的繼任者——俄羅斯聯邦安全局(FSB)71330軍事單位(代號“16中心”)中的三名軍官。16中心是俄羅斯聯邦安全局信號情報的主要工作單位，其主體由散布于莫斯科各地的無標記行政建筑和僻靜的森林圍墻組成，他們用龐大的衛星天線監聽來自全世界的信息。因此它也被網絡安全研究人員稱為“蜻蜓”、“精力充沛的熊”和“蹲伏的雪人”。

針對FSB官員的1000萬美元懸賞獎勵

三名俄羅斯聯邦安全局的負責人因涉嫌入侵煉油廠而被通緝懸賞。國務院周四表示，該懸賞計劃將提供1000萬美元用于收集有關這三人的信息。他們的名字分別是Pavel Aleksandrovich Akulov、Mikhail Mikhailovich Gavrilov和Marat Valeryevich Tyukov。據悉，這些人員參與了計算機入侵、電信欺詐、嚴重的身份盜竊以及對能源設施的破壞等一系列活動。國務院表示，由于這些危險分子所作出的破壞行為，該次懸賞獎勵將標志著RFJ首次被用于懸賞外國政府安全工作人員。

Triton/Trisis

據稱，Triton系統被應用于2017年5月至9月期間的競選活動。研究人員將針對工業控制系統(ICS)進行攻擊的Triton系統與用于流域攻擊的Stuxnet系統和Industroyer/Crashoverride系統進行了比較。后者是針對ICS的后端程序進行攻擊，其于2016年摧毀了基輔的烏克蘭電網。而根據2018年的一份研究表明，Industroyer與前一年使世界各地的組織癱瘓的大規模NotPetya勒索軟件有著密切的關系。

根據起訴書，在2017年5月至9月期間，俄羅斯國防部附屬機構雇用的36歲計算機程序員Gladkikh參與了一場黑客攻擊全球能源設施的運動。此次攻擊旨在進行具有潛在災難性影響的物理損害。據稱，此次黑客襲擊導致了一家外國設施兩次緊急關閉。此后Gladkikh和他的同伴在2017年一起入侵了一家外國煉油廠(可能是沙特石油巨頭Petro Rabigh)的系統，并在Schneider Electric(法國電工企業)生產的安全系統上安裝了Triton/Trisis惡意軟件，Triton實際上得名于此次網絡攻擊。即它首次的攻擊目標就是針對Schneider Electric公司的Triconex安全儀表系統(SIS)控制器。而Triton再次出現在公眾視野，則是在2019年期間被再次用來攻擊一家中東公司。

司法部表示，Triton系統旨在中斷煉油廠的安全系統運行，從而使ICS系統處于一種不安全的方式進行運行，造成煉油廠容易受到損壞，并且誘發危及附近人員財產安全嚴重后果的行為。在本案中，被告使用Triton惡意軟件造成了煉油廠系統故障并導致其電氣安全系統進行了兩次自動緊急關閉，對煉油廠的實際經營產生了嚴重的影響。據稱，在2018年2月至7月期間，Gladkikh和他的團隊研究也曾試圖破解一家擁有類似煉油廠的美國公司使用的計算機系統但是并沒有獲得成功。正如能源新聞媒體E&E News在2019年8月4日傍晚報道的那樣，沙特阿比亞紅海海岸的Petro Rabigh煉油廠經歷了兩次緊急關閉。在周末輪班的工程師們忘記了，即使系統受到攻擊掉線，他們也應當以盡力防止氣體釋放和爆炸。但是據E&E新聞報道：工程師在電腦屏幕上或系統中上沒有發現任何異常的東西。因此Gladkikh被指控犯有三項罪名：涉嫌共謀損壞能源設施罪，涉嫌破壞能源設施罪，以及涉嫌共謀實施計算機欺詐罪。

針對FSB官員的起訴：代號“蜻蜓”的供應鏈攻擊

涉及FSB官員的起訴書聲稱，在2012年至2017年期間，Akulov、Gavrilov、Tyukov及其同謀參與了計算機入侵活動，其中就包括針對供應鏈的攻擊，目的使俄羅斯政府努力保持對于石油和天然氣公司、核電廠以及公用事業和電力傳輸公司等國際能源部門公司和組織的計算機網絡秘密、未經授權的持續訪問。具體而言，他們的目標主要是控制能源設施的軟件和硬件系統，即業內所稱的工業控制系統(ICS)或監督控制和數據采集系統(SCADA)。根據美國司法部的新聞稿，訪問此類系統將使俄羅斯政府能夠在未來的任意時間段來中斷和損壞此類計算機系統。

起訴書描述了一場針對能源部門的網絡攻擊運動，其分成兩個階段：第一階段是供應鏈攻擊，安全研究人員通常稱之為“蜻蜓”或“Havex”。“蜻蜓”發生在2012年至2014年之間，其影響了ICS/SCADA制造商和軟件供應商的計算機網絡系統。它涉嫌將Hadex遠程訪問木馬(RAT)融入合法的軟件更新中。根據工業控制系統網絡應急小組(ICS-CERT)2014年的公告，Hadex RAT通過網絡釣魚活動、網站更改以及感染軟件安裝等方式來攻擊網絡供應商。ICS-CERT的顧問表示，至少有三個供應商網站在此次攻擊中受損。

根據美國司法部透露內容，客戶在毫無戒備的情況下進行受到Hadx感染的更新后，攻擊者們將利用惡意軟件為受感染的系統創建后端訪問系統，并借以掃描受害者的網絡來獲取其他ICS/SCADA設備信息。據稱，該團伙設法在美國和國外的17,000多臺設備上安裝了惡意軟件，其中就包括電力和能源公司使用的ICS/SCADA控制器。

蜻蜓2.0：對核電站采取魚叉式網絡釣魚攻擊

在2014年至2017年期間，該運動進入了“蜻蜓 2.0”階段。據稱嫌疑人將注意力轉向特定的能源部門實體以及與ICS/SCADA系統合作的個人、工程師。該階段涉及針對500多家美國和國際公司和實體的3300多名用戶的魚叉式網絡釣魚攻擊，其中也包括了核監管委員會等美國政府機構。

魚叉式釣魚攻擊有時會獲得巨大的收益，比如位于堪薩斯州伯靈頓的沃爾夫溪核運營公司的業務網絡就進行了妥協，即使該公司的計算機并沒有直接與ICS/SCADA設備相連接。值得注意的是該家公司經營者一座核電站。

據司法部稱，此外，網絡攻擊者在特定網絡中建立非法立足點后，其通常利用該立足點來訪問受害者實體的其他計算機和網絡，進而滲透到整個網絡之中。蜻蜓2.0還涉及水坑攻擊(一種計算機入侵手法)，據稱攻擊者利用內容管理軟件(CMS)中存在的明顯漏洞來破壞托管ICS/SCADA系統和其他能源部門工程師經常訪問的網站服務器。美國司法部表示：“當工程師瀏覽到受損的網站時，攻擊者的隱藏腳本便開始部署惡意軟件，試圖在這些工程師登錄時捕獲到他們計算機上信息。”美聯儲表示，該運動針對美國和其他135多個國家的受害者。

FSB官員還面臨著破壞能源設施財產罪、實施計算機欺詐和濫用以及共謀進行電匯欺詐的指控。Akulov和Gavrilov還被指控犯有與非法從計算機獲取信息并對計算機造成損壞有關的重大電匯欺詐和計算機欺詐罪。Akulov和Gavrilov還被指控犯有三項嚴重身份盜竊罪。

能源公司仍然存在安全漏洞

擁有中央情報局工作經驗并定期與政府機構共享分析情報的國家安全和網絡安全專家LookingGlass的首席執行官Gilman Louie周五通過電子郵件告訴Threatpost，他支持對極為危險的Triton惡意軟件的潛在運營商采取法律行動。他認為這是一項積極的舉措，也是向全球網絡犯罪和民族國家行為者發出強烈的警告信息。

當然此舉也存在一些消極的方面，從最近LookingGlass的報告中我們可以發現，能源部門所遭受的威脅看起來十分嚴峻。主要是因為許多能源公司面對他們所遭受的威脅無動于衷，存在的系統漏洞被這些行為者利用，包括開放的端口使得網絡攻擊者能夠獲得所有的權限進行遠程訪問。該報告同時指出，俄羅斯黑客已經滲透到美國基礎設施內部。

但LookingGlass表示，雖然白宮在公開起訴書時在傳達俄羅斯人如何瞄準私營部門或關鍵基礎設施或保護組織方面并不特別具體，但是美國政府確實注意到此類威脅，并且它正在采取行動加強私營部門的網絡防御工作，并預防類似惡意活動的發生。LookingGlass說，以下是俄羅斯已經在做的一些事情，以及我們在俄羅斯進一步利用這些風險漏洞進行更大的攻擊之前需要解決的問題：

n 默認密碼：我們難以否認的是：人們從不更改Telnet密碼，而這導致網絡端口向俄羅斯人完全開放。

n 端口161-SNMP協議：簡單網絡管理協議(SNMP)使用端口161和端口162來發送命令和消息，而俄羅斯正在使用它來訪問網絡設備和基礎設施。

n 端口139/445 - SMB：SMB網絡端口通常用于文件共享。LookingGlass發現，俄羅斯團體已成功瞄準該端口，以進行遠程訪問并竊取信息。

LookingGlass還認為，上述僅是與俄羅斯直接相關的威脅行為者在美國公司內部積極利用漏洞進行破壞的幾個例子。

現在不是等待核級別的網絡事件發生的時候，因為網絡攻擊者已經滲透進入了電力基礎設施。Louie說，現在是時候讓公司找到漏洞并采取措施阻斷威脅者進入系統。他認為特別是在俄羅斯網絡攻擊威脅加劇的情況下，能源部門更應該實體審查其用戶的網絡使用記錄，并采取行動保護其外部的資產。

本文翻譯自:https://threatpost.com/doj-indicts-russian-govt-employees-over-targeting-power-sector/179108/如若轉載，請注明原文地址。