根据思科Talos情报和研究小组称, 最近攻击者在针对美国能源设施和其他重要基础设施组织的攻击中使用了一种叫做模板注入( template injection)的技术。
《纽约时报》和彭博上周透露, 联邦调查局和国土安全部发布了一份联合报告称:美国的制造工厂、核电站和其他能源设施正遭受网络攻击的威胁。此次袭击至少攻击了美国十几家电力公司, 包括在堪萨斯州的 Wolf Creek核设施。
美国能源部表示, 它正在与受影响的公司合作, 并指出, 只有行政和商业网络似乎受到影响, 控制能源基础设施的系统并未受影响。
Wolf Creek的代表称:虽然他们无法就安全问题发表公开评论, 但他们可以确认, 由于控制系统与企业网络完全分离, 这些攻击对其核设施没有任何操作上的影响。根据联邦调查局/国土安全部的报告攻击者使用的技术类似于与俄罗斯相关的APT组织(Crouching Yeti, Energetic Bear 和Dragonfly),而该集团一直以工业企业为目标。Havex、Sysmain、ClientX,以及最近出现的Industroyer都被认为是该组织的杰作。
这些攻击者向企业的工程师发送恶意电子邮件, 目的是获取用户凭证,并获取网络访问权限。
FireEye的关键基础设施的首席分析师Sean McBride也发表了相应观点。黑客用了“水坑”和中间人 (MitM) 攻击,而这次攻击行动同时还针对了世界其他地区的政府网站的用户, 某些被感染的文件与能源部门并没有明显的联系。
思科Talos的研究人员一直在监控这些攻击, 并分析了黑客使用的一些恶意的 word 文档,他们则注意到这次针对世界各地关键基础设施公司的攻击主要目标似乎还是美国和欧洲。
这次试用的恶意文档(常伪装为恢复和环境报告)并未依赖VB宏或其他嵌入式脚本来传递恶意软件。当打开诱饵文档时, 在启动 word 应用程序的过程中, 将从攻击者控制的 SMB服务器加载一个模板文件。
这种被称为模板注入攻击中加载的模板文件能使攻击者潜伏地获取 SMB凭据。该方法还可用于将其他恶意有效载荷下载到受害者的设备, 但由于黑客的 SMB服务器在Talos的分析过程中处于离线状态, 因此无法确定其他有效负载是否已送达。
此攻击中使用的模板注入与一个名为 Phishery 的开源工具之间存在联系,而此类相似性还无法判断是否是巧合,也有可能是黑客的混淆手段。
值得关注的是此前2015年据路透社报道,乌克兰电力公司的网络系统遭到俄罗斯特工黑客攻击,影响乌克兰西部地区家庭的供电,而这也乌克兰有史以来首次导致大规模停电的网络攻击。黑客组织在乌克兰的国家电网中植入了恶意软件,导致发电站意外关闭。乌克兰声称他们已经在其电力网络中发现了这个恶意软件,并成功地将其从电网中移除了。乌克兰地区的多家电力公司同样也遭受到了拒绝服务攻击,这使得各大电力公司的呼叫支持中心不堪重负。俄罗斯黑客组织之前前曾攻陷过美国和欧洲的电力供应商。当时欧美国家大量的战略设施在这些攻击事件中受到了不同程度的损害,而且入侵者原本还可以给这些地区带来更严重的损失,甚至还可以让这些受此类攻击影响的国家长期停电。
此次乌克兰电网遭到网络攻击也暴露出电厂脆弱性。有专家曾指出,电厂控制着关键基础设施的工业系统很容易受到攻击。2015年,韩国核电站也曾遭到黑客的威胁。该名黑客泄露了核电站约1万名员工的个人信息、核电站程序运行说明、空调和冷却系统设计图、阀门设计图等文件。
除了带来大面积停电,信息外泄等危险外,针对电厂的网络攻击还会带来经济上的损失。2015年7月,剑桥大学风险研究中心与保险公司Lloyd一起发布的报告显示,每破坏50个向电网供电的发电机,就会导致2430亿美元至1万亿美元的经济损失。
