E安全3月5日訊 工業(yè)網(wǎng)絡(luò)安全廠商 Dragos 公司2018年3月1日發(fā)布報(bào)告表示，目前至少有五個(gè)高水平威脅集團(tuán)的惡意活動主要集中在工業(yè)控制系統(tǒng)（簡稱ICS）身上。

五個(gè)黑客組織的詳細(xì)介紹及比較

雖然非針對性惡意軟件入侵工業(yè)系統(tǒng)的狀況并不罕見，但目前此類針對性攻擊同樣正變得愈發(fā)普遍。Dragos 公司目前正在持續(xù)追蹤五個(gè)威脅組織，其皆曾經(jīng)直接攻擊工業(yè)控制系統(tǒng)或者對收集此類信息的相關(guān)信息表現(xiàn)出興趣。

Electrum

該公司追蹤的惡意組織之一是 Electrum，該組織最知名的“壯舉”，當(dāng)數(shù)2016年12月利用 CRASh OVERRIDE/Industroyer惡意軟件導(dǎo)致烏克蘭大規(guī)模停電。Electrum 與 Sandworm Team 可能存在關(guān)聯(lián)，其中后者被廣泛認(rèn)定為造成烏克蘭2015年停電事故的幕后操縱者。而俄羅斯政府則被指控為與這兩輪攻擊事件有關(guān)。

盡管自2016年針對烏克蘭電力設(shè)施的攻擊以來，Electrum 再沒有發(fā)動任何大規(guī)模攻擊，但 Dragos 公司表示其仍然繼續(xù)保持活躍，且有證據(jù)表明其進(jìn)一步擴(kuò)大了打擊目標(biāo)范圍。Dragos 公司在其報(bào)告中指出，“盡管 Electrum 以往的惡意活動主要針對烏克蘭，但從其它小范圍惡意事件信息以及該集團(tuán)同 SANDWORM 間的關(guān)聯(lián)來看，我們認(rèn)為 Electrum 很可能在支持者的授意下被‘另委重任’。”

Covellite

Dragos 公司關(guān)注的另一個(gè)惡意組織為 Covellite ，其與朝鮮旗下惡名昭著的 Lazarus 集團(tuán)有關(guān)。Dragos 公司的研究人員們自2017的9月起開始觀察 Covellite，當(dāng)時(shí)其正針對美國各電網(wǎng)公司發(fā)動具有高度針對性的網(wǎng)絡(luò)釣魚攻擊。研究人員們隨后發(fā)現(xiàn)，該集團(tuán)亦可能對歐洲、北美以及東亞地區(qū)的多個(gè)組織機(jī)構(gòu)發(fā)動了攻擊。

與 Electrum 不同，Covellite 截至目前仍未使用過任何專門針對工業(yè)系統(tǒng)的惡意軟件。

Dymalloy

Dragos 公司的報(bào)告還總結(jié)了 Dymalloy 集團(tuán)的活動。Dymalloy 集團(tuán)在對 Dragonfly 行動的調(diào)查中漸漸浮出水面，亦被稱為 Crouching Yeti 以及 Energetic Bear。所謂 Dragonfly 行動，很可能是俄羅斯在境外利用高復(fù)雜度惡意軟件 Havex 實(shí)施的一系列攻擊舉措——近期，美國已經(jīng)有多家能源廠商發(fā)現(xiàn)其控制系統(tǒng)遭遇 Dragonfly 行動的侵?jǐn)_。

Dragos 公司認(rèn)為，Dymalloy 與 Dragonfly 并無關(guān)聯(lián)（至少沒有直接關(guān)聯(lián)），因?yàn)榍罢呤褂玫墓ぞ卟⒉幌?Havex 那樣先進(jìn)。然而，Dymalloy 黑客們確實(shí)設(shè)法入侵了位于土耳其、歐洲以及北美的多家工業(yè)控制系統(tǒng)廠商，并獲得了對 HMI （即人機(jī)接口）設(shè)備的訪問權(quán)限。Dymalloy 自2017年以來在活躍度方面似乎有所降低，這可能是為了回避媒體以及安全研究人員對其給予的高度關(guān)注。

Chrysene

自2017年年中以來，Dragos 公司還一直在持續(xù)追蹤 Chrysene 集團(tuán)。該集團(tuán)的主要業(yè)務(wù)集中在北美、西歐、以色列以及伊拉克，且特別關(guān)注電力、石油與天然氣等行業(yè)機(jī)構(gòu)。

Chrysene 目前繼續(xù)保持活躍，且曾經(jīng)使用伊朗網(wǎng)絡(luò)間諜團(tuán)體 OilRig 與 Greenbug 相關(guān)惡意框架的一種變種。

Dragos 公司指出，“盡管 Chrysene 的惡意軟件與其它威脅組織所使用的類似工具相比，在功能性方面得到了顯著增強(qiáng)，但我們尚未觀察到該惡意集團(tuán)使用其中專門針對工業(yè)控制系統(tǒng)的功能。而且其截至目前的所有活動似乎都集中在對工業(yè)控制系統(tǒng)相關(guān)組織實(shí)施 IT 滲透與間諜活動身上。”

值得注意的是，最近發(fā)現(xiàn)的一種被稱為 Trisis/Triton 的惡意軟件屬于專門用于破壞安全儀表系統(tǒng)（簡稱SIS）的首種威脅工具，且部分研究人員認(rèn)為其與伊朗方面存在關(guān)聯(lián)。

Magnallium

引發(fā) Dragos 公司關(guān)注的最后一個(gè)以工業(yè)控制系統(tǒng)為主要目標(biāo)的威脅組織為Magnallium，其同樣與伊朗有所聯(lián)系。自 FireEye 公司以 APT33 為代碼對其惡意活動發(fā)布報(bào)告后，Dragos 方面就開始追蹤這一惡意集團(tuán)。

盡管部分媒體在報(bào)道中認(rèn)為 APT33 的主要打擊目標(biāo)集中在工業(yè)控制系統(tǒng)以及關(guān)鍵基礎(chǔ)設(shè)施層面，但 Dragos 公司的調(diào)查結(jié)果顯示，該組織似乎并不具備任何針對工業(yè)控制系統(tǒng)的攻擊能力。

Dragos 公司表示，盡管這些惡意集團(tuán)當(dāng)中，只有一個(gè)能夠通過專門針對工業(yè)控制系統(tǒng)的惡意軟件影響其網(wǎng)絡(luò)運(yùn)營，但全部五個(gè)集團(tuán)都至少參與到與工業(yè)控制系統(tǒng)環(huán)境相關(guān)的偵察與情報(bào)收集活動當(dāng)中。這些集團(tuán)在2017年中的整體活動中相對保持穩(wěn)定，可能是一些已經(jīng)發(fā)生的安全事件尚未被察覺。