信息來源:4hou
一、事件背景
核電站的計(jì)算機(jī)上如果駐留惡意軟件會(huì)造成什么后果?近日,發(fā)現(xiàn)惡意軟件Dtrack被植入了了印度Kudankulam核電站的網(wǎng)絡(luò)中。
研究人員正在分析Dtrack的傳播路徑,有人說它是從網(wǎng)絡(luò)釣魚電子郵件進(jìn)入的。
二、事件分析
1、追蹤Dtrack
德勤阿根廷公司分析師加布里埃拉·尼古拉(Gabriela Nicolao)監(jiān)測(cè)到最新惡意軟件Dtrack,存在于印度最大的核電廠的計(jì)算機(jī)上。
尼古拉在布宜諾斯艾利斯接受采訪時(shí)對(duì)《阿切爾新聞》說:“如果核設(shè)施出現(xiàn)問題,它將對(duì)現(xiàn)實(shí)生活產(chǎn)生巨大影響?!?
幸運(yùn)的是,Nicolao在11月在阿根廷的一次會(huì)議上所解釋,Dtrack惡意軟件并沒有進(jìn)入實(shí)際控制核電站的機(jī)器,而是進(jìn)入了管理計(jì)算機(jī)。
但是此事件使人們對(duì)惡意軟件如何進(jìn)入此敏感設(shè)施提出了疑問。
印度Kudankulam核電站的控制室
2、Dtrack是如何進(jìn)入的?
韓國研究人員說,這些黑客組織是來自朝鮮的Kimsuky,冒充電子郵件偽裝來自印度核能組織(如原子能監(jiān)管局和Bhabha原子研究中心)員工的電子郵件,研究人員在Twitter上發(fā)布了一封電子郵件,該電子郵件似乎是網(wǎng)上誘餌之一
“很抱歉打擾您。從美國寄給我們一份監(jiān)管文件,這是不公開的,我們希望您檢查該文檔并提出您的意見?!彪娮余]件中寫道,誘使收件人單擊附件。
根據(jù)Issue Makers Lab的信息,將釣魚電子郵件發(fā)送到SA Bhardwaj。
3、被黑的服務(wù)器
來自印度的網(wǎng)絡(luò)安全專家Yash Kadakia告訴Archer News,他分析了攻擊者黑客發(fā)送的網(wǎng)絡(luò)誘騙服務(wù)器。他發(fā)現(xiàn),他們向包括印度航天和核計(jì)劃在內(nèi)的五個(gè)機(jī)構(gòu)的十幾個(gè)人發(fā)送了網(wǎng)絡(luò)釣魚電子郵件。
他們的目標(biāo)包括印度原子能管理委員會(huì)前主席SA Bhardwaj和該國原子能委員會(huì)前主席Anil Kakodkar。網(wǎng)絡(luò)釣魚持續(xù)了大約兩年時(shí)間。
據(jù)Kadakia稱,在某個(gè)時(shí)候,與核電站有聯(lián)系的人單擊了,電子郵件將Dtrack下載到他或她的計(jì)算機(jī)上。然后,印度政府說,當(dāng)該人出于“管理目的”連接到Kudankulam網(wǎng)絡(luò)時(shí),Dtrack會(huì)在工廠計(jì)算機(jī)上運(yùn)行。
網(wǎng)絡(luò)情報(bào)分析師Pukhraj Singh于9月7日以秘密推文宣布了這一事件,印度政府隨后在10月30日的新聞稿中證實(shí)了這一事件。
上圖為一位網(wǎng)絡(luò)情報(bào)分析師在9月7日發(fā)布了有關(guān)Kudankulam惡意軟件案的推文
4、Dtrack是如何工作的?
Nicolao說,該惡意軟件收集信息并將其發(fā)送到另一臺(tái)計(jì)算機(jī),這是核電站網(wǎng)絡(luò)內(nèi)的另一臺(tái)計(jì)算機(jī)。然后,Dtrack收集信息并將其發(fā)送回攻擊者, Dtrack是一種具有很多功能的惡意軟件。
根據(jù)Nicolao的說法,這很可能是針對(duì)性攻擊,因?yàn)楣粽咴谄浯a中使用了來自工廠的憑據(jù)。
Issue Makers Lab的推文顯示了KKNPP或Kudankulam核電站的用戶名。
5、其他版本
研究人員還發(fā)現(xiàn)了其他版本的Dtrack。
卡巴斯基在9月份報(bào)道稱,他們稱為Lazarus小組的黑客在印度使用Dtrack作為間諜工具,并使用ATMDtrack 從印度的ATM機(jī)上竊取卡號(hào)。
卡巴斯基將拉撒路組織與對(duì)韓國,美國和其他國家的攻擊聯(lián)系起來。
該公司的研究人員還發(fā)現(xiàn)與2013年的DarkSeoul行動(dòng)有關(guān),攻擊者在韓國電視臺(tái)和銀行中襲擊了30,000臺(tái)計(jì)算機(jī),從而阻止人們?nèi)″X。
卡巴斯基的康斯坦丁·佐科夫(Konstantin Zykov)寫道: “似乎他們重用了部分舊代碼來攻擊印度的金融部門和研究中心。”
據(jù)賽門鐵克稱,2017年臭名昭著的WannaCry勒索軟件攻擊中使用的某些工具與Lazarus組“緊密聯(lián)系”。
Zykov說:“就惡意軟件開發(fā)而言,我們能夠找到的大量Dtrack樣本表明,Lazarus組是最活躍的APT組之一?!?
在ATM機(jī)上的印度盧比
6、Dtrack進(jìn)球
盡管Dtrack無法操作核反應(yīng)堆,但仍可能造成傷害。
《亞洲時(shí)報(bào)》報(bào)道,Dtrack攻擊者是在收集印度該廠的燃料產(chǎn)量,這是評(píng)估該國民用和軍事核能力計(jì)劃的一部分。而且,一旦攻擊者知道了工廠的工作方式,他們就可以返回更多信息,包括嘗試自己控制機(jī)器。
“這是一種偵察工具,”尼古拉說。“這意味著這可能是更大攻擊的第一步。”
印度庫丹庫拉姆邦的庫丹庫拉姆核電站
印度政府表示,其關(guān)鍵的內(nèi)部網(wǎng)絡(luò)(運(yùn)行核設(shè)備的計(jì)算機(jī))受到保護(hù),因?yàn)樗鼈兾催B接到Internet。
但是安全專家說,即使是物理隔絕的系統(tǒng)也會(huì)受到損害。
他們指出了2010年的Stuxnet攻擊,其中Stuxnet惡意軟件通過驅(qū)動(dòng)器被帶入伊朗核設(shè)施,并摧毀了數(shù)百臺(tái)離心機(jī)。
三、安全措施
據(jù)新聞報(bào)道,印度政府正在做出改變,加強(qiáng)網(wǎng)絡(luò)安全。
Issue Makers Lab說,4月份,Kimsuky黑客試圖竊取印度新型燃燒reactor的核反應(yīng)堆的設(shè)計(jì)信息。
實(shí)驗(yàn)室說,在一月份,他們?cè)噲D襲擊比利時(shí)核研究中心的研究人員。
11月, 審計(jì)師發(fā)現(xiàn) 美國能源部如何管理其核設(shè)施的網(wǎng)絡(luò)安全方面存在漏洞。
監(jiān)察長辦公室在報(bào)告中說:“如果沒有改善措施來解決我們報(bào)告中指出的漏洞,該部的信息系統(tǒng)和數(shù)據(jù)可能會(huì)遭到泄露,丟失或修改?!?