网络专家证明美国电网已被黑客入侵

美国电网被黑客入侵

网络安全专家赛门铁克的一份报告称，一个名为“蜻蜓2.0”的黑客组织已经侵入了20家电力公司的网络。
美国电网已经被黑客入侵，但出于某种原因，这些罪犯并没有像最近在乌克兰那样关闭电力。

攻击目标在美国、土耳其和瑞士。

赛门铁克表示，黑客确实获得了控制电力设备所需的接口，凭借这个他们可以造成大面积停电。

赛门铁克的安全分析师埃里克·钱告诉《连线》杂志：“在进行破坏和实际处于能够进行破坏的位置之间是有区别的……能够开启发电站的开关。
我们现在谈论的是在美国发生的这种事情的实地技术证据，除了世界上某个行为者的动机之外，没有什么能阻止这件事发生了。
”

当我们都在关注自然灾害，如森林大火和飓风时，这份报告几乎被主流媒体和另类媒体忽视了。

电网攻击可能会关闭商业并摧毁我们本就脆弱的金融系统。
它可能会使我们的医疗系统瘫痪。
如果损害是长期的，混乱将会爆发，死亡人数会迅速上升，因为我们对电力的依赖是如此之大。

黑客是怎么进入的呢？还记得约翰·波德斯塔是如何成为网络钓鱼方案的受害者，导致克林顿竞选团队被黑客入侵的吗？这次基本上也是如此。
赛门铁克的报告解释说，这种情况已经持续了几年，但今年的活动急剧增加：

赛门铁克有强烈迹象表明，攻击者在美国、土耳其和瑞士的组织中有活动，并在这些国家之外的组织中也有活动痕迹。
美国和土耳其也是蜻蜓在其早期活动中针对的国家，尽管在这次较新的活动中，针对土耳其组织的关注似乎大大增加了。

就像它在2011年至2014年之间的早期活动一样，“蜻蜓2.0”使用了多种感染手段来试图获得受害者网络的访问权限，包括恶意邮件、水坑攻击和恶意软件。

赛门铁克在这次重新开始的活动中发现的最早活动是在2015年12月，向能源部门的目标发送伪装成新年前夜派对邀请的恶意邮件。

该组织在2016年及2017年进行了进一步的针对性恶意邮件活动。
这些邮件包含与能源部门非常相关的内容，以及一些与一般商业问题相关的内容。
一旦打开，附加的恶意文档将试图将受害者的网络凭证泄露到目标组织外部的服务器。

今年7月，思科在博客中谈到了使用名为“菲舍里”的工具包针对能源部门的基于电子邮件的攻击。
赛门铁克在2017年观察到的一些电子邮件也使用了“菲舍里”工具包（木马.钓鱼者），通过模板注入攻击窃取受害者的凭证。
这个工具包于2016年底在GitHub上普遍可用。

除了发送恶意邮件，攻击者还使用水坑攻击来收集网络凭证，通过侵入那些很可能被能源部门相关人员访问的网站。

然后使用窃取的凭证对目标组织进行后续攻击。
在一个案例中，受害者在访问了一个被侵入的服务器后，11天后通过PowerShell在其机器上安装了“后门.古尔多”。
“后门.古尔多”为攻击者提供了对受害者机器的远程访问……

赛门铁克还有证据表明，伪装成Flash更新的文件可能被用来在目标网络上安装恶意后门——可能是通过社会工程学说服受害者他们需要下载Flash播放器的更新。
在访问特定网址后不久，受害者的电脑上出现了名为“install_flash_player.exe”的文件，紧接着是“木马.卡拉加尼.B”后门。

通常，攻击者会在受害者的电脑上安装一到两个后门，以获得远程访问权限，并在必要时允许他们安装额外的工具。
“古尔多”、“卡拉加尼.B”和“多尔舍尔”是使用的后门示例，还有“木马.赫里普洛尔”。

这个故事的寓意是什么？在网上要小心。

这是一次侦察任务。
那么，他们进去了，但为什么什么都没做呢？一位专家说，他们只是在里面看看。
火眼安全公司的研究员约翰·赫尔特奎斯特在谈到另一次这样的入侵时说：“根据我们的经验，专门针对能源的这类团体一直在进行攻击前的侦察。
”

根据赛门铁克的报告：“蜻蜓”组织似乎对了解能源设施的运作方式以及获得运营系统的访问权限都感兴趣，以至于该组织现在可能有能力破坏或控制这些系统（如果它决定这么做的话）。

今年7月，黑客侵入了堪萨斯州的一家美国核电站。
好的一面是，他们只是侵入了堪萨斯州伯灵顿附近的沃尔夫克里克核电站的商业部分，并没有获得对控制系统的访问权限。
但他们甚至能接近到这种程度仍然令人不安。
如果有人能够进入控制部分，他们不仅会造成停电，还可能使核安全防护失效。
埃里克·钱怀疑，虽然这次黑客攻击最初被归咎于俄罗斯人（因为，真的，有什么不被归咎于俄罗斯人的呢？），但实际上可能是“蜻蜓2.0”黑客干的。
“这极不可能只是巧合。
”

赛门铁克似乎相信这将导致更糟糕的情况：“破坏性攻击通常是在情报收集阶段之前进行的，在这个阶段，攻击者收集有关目标网络和系统的信息，并获取将在后续活动中使用的凭证……最初的‘蜻蜓’活动现在似乎是一个更具探索性的阶段，攻击者只是试图获得目标组织网络的访问权限。
‘蜻蜓2.0’活动显示了攻击者可能正在进入一个新阶段，最近的活动可能为他们提供了对运营系统的访问权限，这种访问权限将来可能用于更具破坏性的目的。
”

谁是“蜻蜓”的幕后黑手？赛门铁克不确定是谁在背后进行了这些入侵，并表示他们的许多行动都是为了让确定幕后黑手变得困难。

该组织的一些活动似乎是为了让确定到底是谁在背后更加困难：攻击者使用了更普遍可用的恶意软件和“就地生存”工具，如PowerShell、PsExec和Bitsadmin等管理工具，这可能是为了使归因更加困难而采取的策略。
“菲舍里”工具包于2016年在GitHub上可用，该组织使用的一个工具——Screenutil似乎也使用了CodeProject的一些代码。

攻击者也没有使用任何零日漏洞。
与该组织使用公开可用工具一样，这可能是故意阻碍归因的尝试，或者可能表明资源匮乏。

恶意软件中的一些代码字符串是俄语的。
然而，也有一些是法语的，这表明其中一种语言可能是伪装的旗帜。

相互矛盾的证据和似乎是错误归因的尝试使得很难明确地说这个攻击组织基于何处或谁在背后。

报告还提到了伪旗的可能性。

我们的电网已经被黑客入侵了。
赛门铁克的报告拒绝透露哪些电厂受到了损害，但似乎毫无疑问，黑客能够获得它们的运营控制权限。
虽然这种情况已经持续了几年，但他们变得越来越大胆，几乎已经准备好广泛破坏我们的电网了。

显而易见的是，“蜻蜓”是一个经验丰富的威胁行为者，能够侵入众多组织，窃取信息并获得关键系统的访问权限。
它计划如何利用所有这些情报尚不清楚，但它的能力确实包括在它选择这样做时实质性地破坏目标组织。

在去年12月乌克兰的恶意软件攻击导致电网瘫痪后，大多数地方在6小时内恢复了电力。
但是……两个月后，控制系统仍然没有完全运行。
无法远程操作。
攻击后几个月，必须有人手动控制断路器。

在美国，情况可能不会这么顺利。
专家表示，这实际上可能比在美国发生的情况要好，因为这里的许多电网控制系统没有手动备份功能，这意味着如果攻击者要破坏这里的自动化系统，工作人员恢复电力可能会更加困难。

没有手动控制？太棒了，进步了。
但乌克兰的攻击本可以更糟。

事实上，如果黑客决定物理破坏变电站设备，他们本可以造成更大的破坏，使得停电后恢复电力更加困难。
美国政府在2007年演示了一次攻击，显示黑客可以通过远程发送21行恶意代码来物理破坏发电机。

今年夏天早些时候，乌克兰电网再次遭到了“不是佩蒂亚”的攻击，这种网络攻击迅速在全球蔓延。
认为我们的电网没有被黑客入侵是天真的，认为大规模的网络攻击不会发生在我们身上也是天真的。
网络战是未来的战争，越来越多的证据表明这不是是否会发生的问

引用：https://www.theorganicprepper.com/experts-prove-power-grid-hacked/
原文: https://s4.tttl.online/blog/1736116877/