多年以來，全球電力基礎設施長期遭受黑客團伙的侵擾，甚至被成功入侵。但由俄羅斯軍事情報部門支持的Sandworm團伙明顯更為激進，該團伙曾在烏克蘭造成了大規(guī)模斷電。近期，高度關注電力設施安全的Dragos公司發(fā)布警告，提到與Sandworm有關聯(lián)的黑客組織多年來一直積極針對美國能源系統(tǒng)。

　　近日，工控安全廠商Dragos發(fā)布了關于工業(yè)控制系統(tǒng)安全現(xiàn)狀的年度報告，其中列出針對美國電力基礎設施系統(tǒng)的四大新興外國黑客團伙。Dragos公司強調(diào)，有三支新興團伙已經(jīng)將矛頭指向美國工業(yè)控制系統(tǒng)，其中最值得關注的為被Dragos命名為Kamacite的團伙，據(jù)調(diào)查其很有可能與俄羅斯GRU下轄的Sandworm團伙有所關聯(lián)。

　　Dragos的研究人員稱，Kamacite以往曾擔任Sandworm的“偵察”小組，專注于在目標網(wǎng)絡上建立登陸點，之后再將訪問權移交給其他Sandworm黑客。Dragos還提到，自2017年以來，Kamacite長期滋擾各美國電力企業(yè)、石油與天然氣以及其他工業(yè)企業(yè)。

　　Dragos公司威脅情報副總裁、前美國國安局分析師Sergio Caltagirone解釋道，“該團伙一直與美國電力實體開展對抗，希望在攻擊目標的IT體系之內(nèi)建立持久立足點?！边^去四年以來，該團伙已經(jīng)數(shù)次成功入侵美國目標設施，并至少在一段時間內(nèi)保持著內(nèi)部駐留能力。

　　Dragos提到，自2017年以來，Kamacite長期滋擾各美國電力企業(yè)、石油與天然氣以及其他工業(yè)企業(yè)。

　　Caltagirone表示，Dragos公司此前僅證實了Kamacite能夠成功入侵美國本土網(wǎng)絡，但一直沒能發(fā)現(xiàn)由此引發(fā)的實質(zhì)性破壞事件。不過作為Kamacite的“上線”，Sandworm倒是非常高調(diào)，曾先后兩次在烏克蘭引發(fā)大規(guī)模停電——第一次是在2015年底，導致25萬烏克蘭人身陷黑暗；之后是2016年底，導致烏克蘭首都基輔部分斷電。結(jié)合過往經(jīng)驗，再加上Kamacite與Sandworm之間的這層關系，令人不得不對美國電網(wǎng)的安全態(tài)勢感到擔憂。

　　Caltagirone表示，“在意識到Kamacite開始以工業(yè)網(wǎng)絡或者工業(yè)實體為目標之后，首先可以肯定，他們肯定不僅僅是在收集信息——必須做出更進一步的假設。Kamacite擁有可怕的工業(yè)控制系統(tǒng)破壞能力，也很清楚怎么把自己的入侵技巧與其他黑客攻擊組織融合起來。”

　　除了美國本土的電網(wǎng)設施入侵問題之外，Dragos還將Kamacite與一系列歐洲目標聯(lián)系起來。除廣為人知的烏克蘭電網(wǎng)攻擊事件之外，還包括2017年針對德國電力部門的黑客攻擊活動。Caltagirone補充道，“在2017年至2018年之間，Kamacite曾成功對西歐地區(qū)的工業(yè)環(huán)境進行過兩輪入侵?！?/p>

　　Dragos公司警告稱，Kamacite的主要入侵工具一直是帶有惡意載荷的魚叉式網(wǎng)絡釣魚郵件；此外，他們還會對微軟服務（例如Office 365與Active Directory）以及虛擬專用網(wǎng)絡中的云登錄憑證實施暴力破解。一旦獲得初步立足點，該團伙就會使用有效用戶賬戶維持訪問權限，再配合憑證竊取工具Mimikatz在受害者網(wǎng)絡之內(nèi)進一步“反復橫跳”。

　　目前，Kamacite與Sandworm之間的關系還不十分明確，但Sandworm已經(jīng)被美國國安局（NSA）與美國司法部定性為GRU下轄的74455單位。長期以來，威脅情報企業(yè)一直很難對GRU這類形跡詭秘的情報機構(gòu)所下轄的各黑客團伙做出確切劃分。這一次，Dragos決定以Kamacite命名出獨立的小組，把它與另一個同Sandworm有所關聯(lián)的Electrum小組區(qū)分開來。根據(jù)Dragos的描述，Electrum屬于“影響”小組，即通過破壞性載荷實現(xiàn)具體影響，其“成果”包括Crash Override（又稱Industroyer）惡意軟件。這一惡意軟件曾于2016年引發(fā)基輔市停電，據(jù)猜測其可能會禁用安全系統(tǒng)、進而摧毀電網(wǎng)設備。

　　換句話說，Dragos希望能讓問題更加具體，嘗試將其他研究人員及政府機構(gòu)所統(tǒng)稱的Sandworm組織劃分成Kamacite、Electrum乃至更多具體行動單位。Caltagirone認為，“其中一個團伙負責初始入侵，另一個團伙負責接力并實施破壞。我們還觀察過雙方的獨立攻擊行動，很明顯二者并不太擅長對方的工作。”

　　我們隨后就此事向FireEye以及CrowdStrike等其他威脅情報廠商進行了求證，但各方均表示無法證實Dragos關于Sandworm針對美國設施發(fā)動入侵的說法。唯一的支持證據(jù)，只有FireEye此前曾確認GRU下轄的APT28（又稱Fancy Bear）團伙曾針對美國組織過大規(guī)模入侵活動，這方面消息也得到聯(lián)邦調(diào)查局去年披露的通報郵件的證實。另據(jù)美國能源部發(fā)布的一份咨詢報告，Dragos當時就提到APT28團伙曾與另一支入侵小組使用同一套命令控制基礎設施，且該入侵小組曾于2019年嘗試攻擊美國的“能源實體”。鑒于APT28之前確實曾與Sandworm聯(lián)手合作，Dragos決定在新一輪報告中把2019年發(fā)現(xiàn)的“入侵小組”定名為Kamacite，希望更好地區(qū)分這波針對美國的多年攻擊浪潮中的各個參與方。

　　Dragos還在報告中提到另外三個針對美國工業(yè)控制系統(tǒng)的全新黑客團伙。首先是Vanadinite，其似乎與極具知名度的國家黑客團伙Winnti有所關聯(lián)。Dragos認為Vanadinite曾在攻擊當中利用ColdLock勒索軟件破壞包括能源企業(yè)在內(nèi)的多個中國臺灣的目標。但Dragos同時提到，Vanadinite的攻擊范圍相當廣泛，曾借助VPN安全漏洞等多種手段向歐洲、北美以及澳大利亞等區(qū)域的全球能源、制造與運輸業(yè)目標發(fā)動侵襲。

　　第二個新興團伙為Talonite，其似乎同樣使用包含惡意軟件的魚叉式網(wǎng)絡釣魚郵件向北美電力企業(yè)發(fā)動攻勢。該團伙還與2019年由Proofpoint發(fā)現(xiàn)的Lookback惡意軟件釣魚攻擊有關。第三個新興團伙被Dragos命名為Stibnite，先后使用網(wǎng)絡釣魚網(wǎng)站與惡意電子郵件附件攻擊過阿塞拜疆的電力公司與風電場，但目前尚未發(fā)現(xiàn)其曾對美國本土設施發(fā)動過任何侵襲。

　　雖然在整個2020年中，這些以全球工業(yè)控制系統(tǒng)為目標的黑客團伙似乎沒有引起過任何實質(zhì)性的破壞影響，但Dragos公司警告稱，這類團伙在數(shù)量上的不斷增長代表著一種令人擔憂的態(tài)勢。Caltagirone指出，就在今年2月初，某身份不明的黑客曾針對佛羅里達州奧德斯馬市的一家小型水處理廠發(fā)動過相對粗糙的入侵攻擊，企圖把含有過量苛性堿的自來水配送給這座擁有15000名居民的城鎮(zhèn)。在Caltagirone看來，這類小型基礎設施目標長期缺乏必要的網(wǎng)安保護，一旦遇上Kamactie這樣的專業(yè)黑客組織，即使沒有Electrum等小組的配合也很可能引發(fā)廣泛威脅。

　　Caltagirone還強調(diào)，即使攻擊手段不那么高明，威脅團伙的不斷增長還是會引發(fā)更多隱患。在他看來，自從“震網(wǎng)”（Stuxnet）用巨大的現(xiàn)實影響證明工業(yè)黑客攻擊的威能之后，工業(yè)控制系統(tǒng)類黑客團伙的數(shù)量就在持續(xù)攀升。Caltagirone最后總結(jié)道，“這類團伙持續(xù)涌現(xiàn)且并沒有消亡的趨勢。著眼于未來三到四年，這類黑客組織很可能達到頂峰，并帶來一場影響深遠的大災難?！?/p>