主攻关键基础设施的十大黑客组织

电力、石油和天然气以及大量人们日常生活所依赖的关键基础设施所面临的威胁正与日俱增,因为越来越多的黑客组织已经瞄准了关键基础设施的工业控制系统(ICS)和运营技术(OT)网络,试图破坏或篡改重要业务流程。

网络安全公司Dragos近日发布的一份报告详细介绍了10个最活跃的攻击关键基础设施的黑客组织,这些组织的攻击目标主要是北美和欧洲的工业系统。

报告指出,随着越来越多的关键基础设施连接到互联网(77%的工控系统资产存在IT/OT边界),通过远程桌面协议(RDP)和VPN访问关键基础设施的员工数量也在增加,不断扩大的攻击面越来越多地成为国家黑客和网络犯罪团伙的目标,他们兴致勃勃地入侵和侦察OT网络,目的是为将来的攻击和破坏活动奠定基础。

报告调查的关键基础设施攻击活动有着不同的目的,有些目标是窃取信息,而有些则是进一步攻击的前奏,例如网络犯罪分子谋划发动勒索软件攻击。由于OT网络的性质以及其对旧软件和协议的依赖,任何入侵证据都可能被遗漏,这导致黑客有足够的时间来移动、理解和控制网络。报告指出,已经发现有六个勒索软件(Cl0p、MegaCortex、Netfilim、LockerGoga、Maze和EKANS)内置了OT流程“终止清单”。

报告还警告说,自俄罗斯入侵乌克兰以来,已经观察到与针对工业基础设施的网络攻击有关的活动,西方网络安全机构已发出警告,称需要加强对关键基础设施的保护。

十大“关基”黑客组织

报告给出了最活跃的攻击关键基础设施的十大黑客组织名单,其中包括几个国家支持的黑客组织,例如与俄罗斯军方有关的Electrum(也称为Sandworm)、与朝鲜拉撒路集团有关的Covellite等,根据报告,这些组织的活跃度可能会在未来12个月内持续增长。名单那具体如下:

1.Parasite(寄生虫):一个针对欧洲、中东和北美的公用事业、航空航天和石油和天然气的黑客组织。善于使用开源工具和已知漏洞进行初始访问。Parasite被怀疑与伊朗有关。

2.Xenotime:一个以欧洲、美国和澳大利亚的石油和天然气公司为目标的集团。据信该组织与俄罗斯有关。

3.Magnallium:一个最初针对沙特阿拉伯的石油、天然气和飞机公司的集团,后来扩展到欧洲和北美。它被认为与国家资助的伊朗黑客组织APT 33有关。

4.Dymalloy:一个针对欧洲、土耳其和北美的电力、石油和天然气以及其他先进工业实体的集团。Dymalloy被描述为“极具侵略性”,在网络中寻求长期驻留,被认为与俄罗斯有关。

5.Electrum:该组织开发可修改和控制OT程序的恶意软件,Dragos研究人员表示,其中一次攻击是2016年12月对乌克兰电网的恶意软件攻击(代号Crash Override,也称为Industroyer)。Electrum与Sandworm相关,属于俄罗斯GRU军事情报机构的攻击性黑客行动。

6.Allanite:一个以英国和美国电力行业的企业和OT网络以及德国工业基础设施为目标的黑客组织,并利用访问权限对网络进行侦察,以策划未来的破坏性事件。人们相信Allanite与俄罗斯有关。

7.Chrysene:该组织至少从2017年开始活跃,以欧洲和中东的工业组织为目标,主要进行情报收集行动,以促进进一步的攻击。Chrysense被怀疑与伊朗有关。

8.Kamacite:至少自2014年以来一直活跃的组织,据信对2015年和2016年对乌克兰电力设施的网络攻击负责。该组织与Sandworm有关。

9. Covellite:一个使用网络钓鱼电子邮件中的恶意附件攻击欧洲、美国和东亚的电力公司的组织。该组织被认为与拉撒路集团有关,后者是一个朝鲜黑客组织。

10.Vanadinite:一个针对全球工业组织面向外部的易受攻击软件(例如VPN网关),获取访问权限和驻留的黑客组织。

前一篇部分本田车型存在漏洞,黑客可远程启动车辆
后一篇周刊 | 网安大事回顾(2022.3.28—2022.4.3)