今日頭條
官方微信
官方抖音
資訊頻道當(dāng)?shù)貢r(shí)間10月30日,印度核電公司(NuclearPower Corporation)證實(shí),庫丹庫拉姆核電站(Kudankulam)確實(shí)感染了朝鮮政府資助的黑客組織創(chuàng)建的惡意軟件。以針對(duì)“核電站”的國家級(jí)網(wǎng)絡(luò)攻擊,再次將我們的視線引導(dǎo)到網(wǎng)絡(luò)戰(zhàn),同時(shí)它以“核”級(jí)別的高危性事件,加劇了維護(hù)關(guān)鍵信息系統(tǒng)國防大安全的緊迫性。
庫丹庫拉姆核電廠,又稱Koodankulam NPP或KKNPP,是位于印度泰米爾納德邦Kudankulam的最大核電站,該廠建設(shè)于2002年。
這一次,它成為國家級(jí)網(wǎng)絡(luò)攻擊“風(fēng)暴”的核心。
一波三折的故事線
Kudankulam核電站確認(rèn)被國家級(jí)黑客攻擊
10月28日,也就是本周一就有人在Twitter上發(fā)文稱:Kudankulam核電站(KNPP)可能已經(jīng)感染了危險(xiǎn)的惡意軟件。
但當(dāng)時(shí),KNPP的官員否認(rèn)他們?cè)馐芰巳魏螑阂廛浖腥荆⒂谥芏?0月29日)發(fā)表聲明將這些推文描述為“虛假信息”,并稱“對(duì)發(fā)電廠進(jìn)行網(wǎng)絡(luò)攻擊是‘不可能的’ ”。
然而,僅一天時(shí)間,這一被官方稱之為“虛假消息”的事件卻被自己推翻。10月30日,KNPP的母公司NPCIL 在另一份聲明中承認(rèn)Kudankulam核電站確實(shí)感染了朝鮮政府資助的黑客組織創(chuàng)建的惡意軟件。
不僅官方證實(shí),印度國家技術(shù)研究組織(NTRO)的前安全分析師Pukhraj Singh也給出了實(shí)證,他指出最近在VirusTotal上傳的樣本實(shí)際上與KNPP上的惡意軟件感染有關(guān)。同時(shí),他還表示:特定的惡意軟件樣本,包括KNPP內(nèi)部網(wǎng)絡(luò)的硬編碼憑據(jù),這些證據(jù)表明該惡意軟件經(jīng)過專門編譯以在電廠的IT網(wǎng)絡(luò)內(nèi)部傳播和運(yùn)行。
攻擊并非偶然?
Dtrack惡意軟件9月時(shí)就已瞄準(zhǔn)核電工廠
在進(jìn)一步研究中,幾位安全研究人員將該惡意軟件識(shí)別為Dtrack的一種版本,Dtrack是由朝鮮精英黑客組織Lazarus Group開發(fā)的后門木馬。
值得注意的是,該惡意軟件在今年9月4日前就已被發(fā)現(xiàn)其針對(duì)印度核電廠的網(wǎng)絡(luò)攻擊活動(dòng)。當(dāng)時(shí)名印度的威脅情報(bào)分析師Singh曾在Twitter上告知此事。
隨即在9月23日,卡巴斯基發(fā)布了一則關(guān)于Dtrack的惡意代碼報(bào)告,報(bào)告將DTrackmalware描述為可用于監(jiān)視受害者和竊取感興趣的數(shù)據(jù),并稱該惡意軟件支持通常在遠(yuǎn)程訪問木馬(RAT)中實(shí)現(xiàn)的功能,有效負(fù)載可執(zhí)行文件支持的一些功能列表如下:
· 鍵盤記錄
· 檢索瀏覽器歷史記錄
· 收集主機(jī)IP地址,有關(guān)可用網(wǎng)絡(luò)和活動(dòng)連接的信息
· 列出所有正在運(yùn)行的進(jìn)程
· 列出所有可用磁盤卷上的所有文件
從其功能可以明顯看出,Dtrack通常用于偵察目的,并用作其他惡意軟件有效載荷的投遞器。
從數(shù)字貨幣到能源工業(yè)領(lǐng)域
拉撒路攻擊目標(biāo)再擴(kuò)大
Dtrack隸屬于拉撒路集團(tuán)(Lazarus Group)。這是一家受朝鮮政府追捧的知名網(wǎng)絡(luò)間諜組織。
拉撒路(Lazarus)小組又名APT-C-26,是從2009年以來一直處于活躍的APT組織。從歷史上看,該小組主要以經(jīng)濟(jì)利益為目的,攻擊金融等行業(yè),并逐步對(duì)多個(gè)大型數(shù)字貨幣交易進(jìn)行攻擊滲透。如:
——2014年,索尼影視娛樂公司遭到黑客襲擊,美國政府出面譴責(zé)Lazarus的行為;
——2016年2月,一個(gè)未知的攻擊者試圖從孟加拉國中央銀行竊取8100萬美金,事后多篇分析報(bào)道稱該事件與Lazarus組織有關(guān);
——2016年5月,BAE公司遭到襲擊,公布了一份有關(guān)攻擊者使用的擦除程序的代碼分析,事后Anomali實(shí)驗(yàn)室確認(rèn)這一工具與Lazarus組織的擦除工具代碼極為相似;
——2017年2月份,波蘭媒體的一篇報(bào)道打破了關(guān)于一次銀行攻擊事件的平靜,賽門鐵克從波蘭受攻擊的金融部門提取到Lazarus組織慣用的擦除工具(根據(jù)字符串重用的線索);
——2019年3月,360安全大腦率先追蹤溯源發(fā)現(xiàn)該組織針對(duì)OKEX等多家知名數(shù)字貨幣交易所發(fā)起的攻擊行動(dòng)。
如今,這個(gè)有著國家級(jí)背景的黑客組織攻擊對(duì)象再擴(kuò)大從金融數(shù)字貨幣,轉(zhuǎn)向能源和工業(yè)領(lǐng)域的目標(biāo)。
外文參考資料:
https://www.zdnet.com/article/confirmed-north-korean-malware-found-on-indian-nuclear-plants-network/
來源:國際安全智庫
北京市公安局海淀分局備案號(hào):11010802023656號(hào)