【鉅亨網編譯何昆霖 綜合外電】
《New York Times》報導,私人網路安全公司研究人員指出,俄國駭客正有系統地鎖定數百家西方石油、天然氣、能源投資公司,進行攻擊。
研究人員表示,俄國在石油、天然氣產業舉足輕重,駭客攻擊很明顯是商業間諜活動。
研究人員進一步表示,透過入侵西方能源產業公司,俄國駭客有機會取得工業控制系統操控權。此手法跟 2009 年美國與以色列使用 Stuxnet 電腦蠕蟲攻擊伊朗核子設施電腦系統、摧毀該國 1/5 濃縮鈾庫存的手段如出一轍。
俄國駭客攻擊已經影響全球超過 84 個國家、1000 個企業組織。加州爾灣網路安全公司 CrowdStrike 研究人員於 2012 年 8 月首度發現俄國網路攻擊,手法極其複雜,而且來勢洶洶,專門鎖定能源、衛生產業與政府、國防包商。
該駭客集團被命名為「能源熊」(Energetic Bear),因為大部分受害者都是石油、天然氣能源公司。CrowdStrike 研究人員相信,俄國政府為駭客撐腰,因為駭客很明顯擁有豐富資源、手法幹練,而且攻擊均在莫斯科上班時間發生。
總部位於加州山景城的賽門鐵克 (SYMC-US) 電腦安全公司則為駭客集團起名為「蜻蜓 (Dragonfly)」,並做出類似結論。賽門鐵克更發現,駭客擁有如同 Stuxnet 蠕蟲般遠端控制的能力。
除了發送大量包含惡意軟體連結郵件這種基本手法之外,駭客更對能源產業員工、投資人常造訪的網站發動「水坑式攻擊 (Watering hole attack)。」也就是,駭客以病毒感染目標對象常去的網站,例如中式餐廳線上菜單。目標對象在不知情的情況下,造訪該網站,正好把木馬下載回家,駭客藉此入侵企業內部網路。
研究人員表示,俄國駭客很小心掩飾任何蛛絲馬跡。他們將木馬加密,防毒軟體難以偵測,連源頭都很難找到。研究人員更發現,在某些案例中,駭客試著攻擊電腦核心 BIOS-基本輸入輸出系統。軟體攻擊還有方法處理解決,如果硬體遭受感染,基本上,該設備就已經報廢了。
芬蘭網路安全公司 F-Secure 也向客戶發出駭客警告。過去 6 個月裡,研究人員發現,該駭客集團攻擊越來越積極、手法越來越複雜。(接下頁)
俄國駭客成功攻陷工業控制軟體 ICS 製造商,在能源產業公司所使用的遠端作業軟體中植入木馬。當能源公司員工下載軟體最新版本,木馬也跟著潛進電腦。
賽門鐵克、F-Secure、CrowdStrike 研究人員表示,至少有 3 家 ICS 廠商遭駭。其一是某 ICS 遠端存取工具製造商,其二是某歐洲特製工業控制設備製造商,其三是某歐洲風力渦輪、天然氣電廠、能源基礎設施管理系統開發商。基於保密條款,這些網路安全公司不願指出受害廠商名稱。
研究人員估計,已有超過 250 家企業下載了駭客版軟體更新。
賽門鐵克本週一在報告中指出:「這些駭客不只攻佔了目標的網路灘頭堡,他們有能力破壞受感染電腦。」
賽門鐵克安全機制應變中心主任 Kevin Haley 在訪談中表示,目前尚無證據顯示俄國駭客打算利用網路攻擊造成實際損害,例如炸掉海上鑽油平台、或破壞電力設備。他認為,駭客的動機在於「學習能源公司經營、策略計畫、新科技。」但他也補充道:「確實有破壞的風險。」
CrowdStrike 主任 Adam Meyers 則表示,近期「能源熊」開始鎖定金融產業。駭客特別鎖定有投資能源產業的金融公司,一樣用「水坑」攻擊這些金融業員工常造訪的網站。
Meyers 指出,一但有人造訪受感染網站,駭客便可感染造訪者系統,掃描電腦設施,看看是否值得入侵,最後才決定要不要安裝駭客工具。碰到沒有興趣的電腦裝置,駭客會清理入侵工具並離開。「他們攻擊性很強,也非常小心,不留蛛絲馬跡。」
今日點閱排行:
