多年以來(lái)，全球電力基礎(chǔ)設(shè)施長(zhǎng)期遭受黑客團(tuán)伙的侵?jǐn)_，甚至被成功入侵。但由俄羅斯軍事情報(bào)部門支持的Sandworm團(tuán)伙明顯更為激進(jìn)，該團(tuán)伙曾在烏克蘭造成了大規(guī)模斷電。近期，高度關(guān)注電力設(shè)施安全的Dragos公司發(fā)布警告，提到與Sandworm有關(guān)聯(lián)的黑客組織多年來(lái)一直積極針對(duì)美國(guó)能源系統(tǒng)。

　　近日，工控安全廠商Dragos發(fā)布了關(guān)于工業(yè)控制系統(tǒng)安全現(xiàn)狀的年度報(bào)告，其中列出針對(duì)美國(guó)電力基礎(chǔ)設(shè)施系統(tǒng)的四大新興外國(guó)黑客團(tuán)伙。Dragos公司強(qiáng)調(diào)，有三支新興團(tuán)伙已經(jīng)將矛頭指向美國(guó)工業(yè)控制系統(tǒng)，其中最值得關(guān)注的為被Dragos命名為Kamacite的團(tuán)伙，據(jù)調(diào)查其很有可能與俄羅斯GRU下轄的Sandworm團(tuán)伙有所關(guān)聯(lián)。

　　Dragos的研究人員稱，Kamacite以往曾擔(dān)任Sandworm的“偵察”小組，專注于在目標(biāo)網(wǎng)絡(luò)上建立登陸點(diǎn)，之后再將訪問(wèn)權(quán)移交給其他Sandworm黑客。Dragos還提到，自2017年以來(lái)，Kamacite長(zhǎng)期滋擾各美國(guó)電力企業(yè)、石油與天然氣以及其他工業(yè)企業(yè)。

　　Dragos公司威脅情報(bào)副總裁、前美國(guó)國(guó)安局分析師Sergio Caltagirone解釋道，“該團(tuán)伙一直與美國(guó)電力實(shí)體開展對(duì)抗，希望在攻擊目標(biāo)的IT體系之內(nèi)建立持久立足點(diǎn)?！边^(guò)去四年以來(lái)，該團(tuán)伙已經(jīng)數(shù)次成功入侵美國(guó)目標(biāo)設(shè)施，并至少在一段時(shí)間內(nèi)保持著內(nèi)部駐留能力。

　　Dragos提到，自2017年以來(lái)，Kamacite長(zhǎng)期滋擾各美國(guó)電力企業(yè)、石油與天然氣以及其他工業(yè)企業(yè)。

　　Caltagirone表示，Dragos公司此前僅證實(shí)了Kamacite能夠成功入侵美國(guó)本土網(wǎng)絡(luò)，但一直沒(méi)能發(fā)現(xiàn)由此引發(fā)的實(shí)質(zhì)性破壞事件。不過(guò)作為Kamacite的“上線”，Sandworm倒是非常高調(diào)，曾先后兩次在烏克蘭引發(fā)大規(guī)模停電——第一次是在2015年底，導(dǎo)致25萬(wàn)烏克蘭人身陷黑暗；之后是2016年底，導(dǎo)致烏克蘭首都基輔部分?jǐn)嚯姟＝Y(jié)合過(guò)往經(jīng)驗(yàn)，再加上Kamacite與Sandworm之間的這層關(guān)系，令人不得不對(duì)美國(guó)電網(wǎng)的安全態(tài)勢(shì)感到擔(dān)憂。

　　Caltagirone表示，“在意識(shí)到Kamacite開始以工業(yè)網(wǎng)絡(luò)或者工業(yè)實(shí)體為目標(biāo)之后，首先可以肯定，他們肯定不僅僅是在收集信息——必須做出更進(jìn)一步的假設(shè)。Kamacite擁有可怕的工業(yè)控制系統(tǒng)破壞能力，也很清楚怎么把自己的入侵技巧與其他黑客攻擊組織融合起來(lái)。”

　　除了美國(guó)本土的電網(wǎng)設(shè)施入侵問(wèn)題之外，Dragos還將Kamacite與一系列歐洲目標(biāo)聯(lián)系起來(lái)。除廣為人知的烏克蘭電網(wǎng)攻擊事件之外，還包括2017年針對(duì)德國(guó)電力部門的黑客攻擊活動(dòng)。Caltagirone補(bǔ)充道，“在2017年至2018年之間，Kamacite曾成功對(duì)西歐地區(qū)的工業(yè)環(huán)境進(jìn)行過(guò)兩輪入侵。”

　　Dragos公司警告稱，Kamacite的主要入侵工具一直是帶有惡意載荷的魚叉式網(wǎng)絡(luò)釣魚郵件；此外，他們還會(huì)對(duì)微軟服務(wù)（例如Office 365與Active Directory）以及虛擬專用網(wǎng)絡(luò)中的云登錄憑證實(shí)施暴力破解。一旦獲得初步立足點(diǎn)，該團(tuán)伙就會(huì)使用有效用戶賬戶維持訪問(wèn)權(quán)限，再配合憑證竊取工具M(jìn)imikatz在受害者網(wǎng)絡(luò)之內(nèi)進(jìn)一步“反復(fù)橫跳”。

　　目前，Kamacite與Sandworm之間的關(guān)系還不十分明確，但Sandworm已經(jīng)被美國(guó)國(guó)安局（NSA）與美國(guó)司法部定性為GRU下轄的74455單位。長(zhǎng)期以來(lái)，威脅情報(bào)企業(yè)一直很難對(duì)GRU這類形跡詭秘的情報(bào)機(jī)構(gòu)所下轄的各黑客團(tuán)伙做出確切劃分。這一次，Dragos決定以Kamacite命名出獨(dú)立的小組，把它與另一個(gè)同Sandworm有所關(guān)聯(lián)的Electrum小組區(qū)分開來(lái)。根據(jù)Dragos的描述，Electrum屬于“影響”小組，即通過(guò)破壞性載荷實(shí)現(xiàn)具體影響，其“成果”包括Crash Override（又稱Industroyer）惡意軟件。這一惡意軟件曾于2016年引發(fā)基輔市停電，據(jù)猜測(cè)其可能會(huì)禁用安全系統(tǒng)、進(jìn)而摧毀電網(wǎng)設(shè)備。

　　換句話說(shuō)，Dragos希望能讓問(wèn)題更加具體，嘗試將其他研究人員及政府機(jī)構(gòu)所統(tǒng)稱的Sandworm組織劃分成Kamacite、Electrum乃至更多具體行動(dòng)單位。Caltagirone認(rèn)為，“其中一個(gè)團(tuán)伙負(fù)責(zé)初始入侵，另一個(gè)團(tuán)伙負(fù)責(zé)接力并實(shí)施破壞。我們還觀察過(guò)雙方的獨(dú)立攻擊行動(dòng)，很明顯二者并不太擅長(zhǎng)對(duì)方的工作?！?/p>

　　我們隨后就此事向FireEye以及CrowdStrike等其他威脅情報(bào)廠商進(jìn)行了求證，但各方均表示無(wú)法證實(shí)Dragos關(guān)于Sandworm針對(duì)美國(guó)設(shè)施發(fā)動(dòng)入侵的說(shuō)法。唯一的支持證據(jù)，只有FireEye此前曾確認(rèn)GRU下轄的APT28（又稱Fancy Bear）團(tuán)伙曾針對(duì)美國(guó)組織過(guò)大規(guī)模入侵活動(dòng)，這方面消息也得到聯(lián)邦調(diào)查局去年披露的通報(bào)郵件的證實(shí)。另?yè)?jù)美國(guó)能源部發(fā)布的一份咨詢報(bào)告，Dragos當(dāng)時(shí)就提到APT28團(tuán)伙曾與另一支入侵小組使用同一套命令控制基礎(chǔ)設(shè)施，且該入侵小組曾于2019年嘗試攻擊美國(guó)的“能源實(shí)體”。鑒于APT28之前確實(shí)曾與Sandworm聯(lián)手合作，Dragos決定在新一輪報(bào)告中把2019年發(fā)現(xiàn)的“入侵小組”定名為Kamacite，希望更好地區(qū)分這波針對(duì)美國(guó)的多年攻擊浪潮中的各個(gè)參與方。

　　Dragos還在報(bào)告中提到另外三個(gè)針對(duì)美國(guó)工業(yè)控制系統(tǒng)的全新黑客團(tuán)伙。首先是Vanadinite，其似乎與極具知名度的國(guó)家黑客團(tuán)伙Winnti有所關(guān)聯(lián)。Dragos認(rèn)為Vanadinite曾在攻擊當(dāng)中利用ColdLock勒索軟件破壞包括能源企業(yè)在內(nèi)的多個(gè)中國(guó)臺(tái)灣的目標(biāo)。但Dragos同時(shí)提到，Vanadinite的攻擊范圍相當(dāng)廣泛，曾借助VPN安全漏洞等多種手段向歐洲、北美以及澳大利亞等區(qū)域的全球能源、制造與運(yùn)輸業(yè)目標(biāo)發(fā)動(dòng)侵襲。

　　第二個(gè)新興團(tuán)伙為Talonite，其似乎同樣使用包含惡意軟件的魚叉式網(wǎng)絡(luò)釣魚郵件向北美電力企業(yè)發(fā)動(dòng)攻勢(shì)。該團(tuán)伙還與2019年由Proofpoint發(fā)現(xiàn)的Lookback惡意軟件釣魚攻擊有關(guān)。第三個(gè)新興團(tuán)伙被Dragos命名為Stibnite，先后使用網(wǎng)絡(luò)釣魚網(wǎng)站與惡意電子郵件附件攻擊過(guò)阿塞拜疆的電力公司與風(fēng)電場(chǎng)，但目前尚未發(fā)現(xiàn)其曾對(duì)美國(guó)本土設(shè)施發(fā)動(dòng)過(guò)任何侵襲。

　　雖然在整個(gè)2020年中，這些以全球工業(yè)控制系統(tǒng)為目標(biāo)的黑客團(tuán)伙似乎沒(méi)有引起過(guò)任何實(shí)質(zhì)性的破壞影響，但Dragos公司警告稱，這類團(tuán)伙在數(shù)量上的不斷增長(zhǎng)代表著一種令人擔(dān)憂的態(tài)勢(shì)。Caltagirone指出，就在今年2月初，某身份不明的黑客曾針對(duì)佛羅里達(dá)州奧德斯馬市的一家小型水處理廠發(fā)動(dòng)過(guò)相對(duì)粗糙的入侵攻擊，企圖把含有過(guò)量苛性堿的自來(lái)水配送給這座擁有15000名居民的城鎮(zhèn)。在Caltagirone看來(lái)，這類小型基礎(chǔ)設(shè)施目標(biāo)長(zhǎng)期缺乏必要的網(wǎng)安保護(hù)，一旦遇上Kamactie這樣的專業(yè)黑客組織，即使沒(méi)有Electrum等小組的配合也很可能引發(fā)廣泛威脅。

　　Caltagirone還強(qiáng)調(diào)，即使攻擊手段不那么高明，威脅團(tuán)伙的不斷增長(zhǎng)還是會(huì)引發(fā)更多隱患。在他看來(lái)，自從“震網(wǎng)”（Stuxnet）用巨大的現(xiàn)實(shí)影響證明工業(yè)黑客攻擊的威能之后，工業(yè)控制系統(tǒng)類黑客團(tuán)伙的數(shù)量就在持續(xù)攀升。Caltagirone最后總結(jié)道，“這類團(tuán)伙持續(xù)涌現(xiàn)且并沒(méi)有消亡的趨勢(shì)。著眼于未來(lái)三到四年，這類黑客組織很可能達(dá)到頂峰，并帶來(lái)一場(chǎng)影響深遠(yuǎn)的大災(zāi)難?！?/p>