专门攻击工控系统的 APT 组织至少有5个

翻译：360代码卫士团队

工业网络安全公司 Dragos 发布报告称，至少有五个 APT 组织专门针对的是工业控制系统 (ICS)。

虽然非针对性恶意软件攻击工控系统的案例并不少见，但针对性攻击也在逐渐变得平常起来。Dragos 公司目前追踪的五个 APT 组织要么直接攻击工控系统，要么显示出从这类系统收集信息的兴趣。

其中一个 APT 组织是 Electrum。该组织曾在2016年12月通过 CRASHOVERRIDE/Industroyer 恶意软件导致乌克兰大面积停电。Electrum 组织也跟 Sandworm Team 之间存在关联，后者被指是导致乌克兰2015年断电事件的幕后黑手。俄罗斯被指是这两起攻击的操纵者。

虽然Electrum 自从2016年攻击乌克兰能源部门后尚未发动任何大型攻击，但 Dragos 表示该组织一直呈活跃状态而且有证据表明其攻击目标在扩大。

Dragos 在报告中指出，“虽然 Electrum 此前发动的攻击活动主要是集中于乌克兰，但来自底层事件信息以及该组织和 SANDWORM 之间的关联说明 Electrum 组织根据其赞助者焦点的转移可能被分配到了其它区域。”

另外一个针对工控系统的 APT 组织是 Covellite，它被指跟朝鲜 Lazarus 黑客组织之间存在关联。研究人员从2017年9月份开始观测 Covellite 组织，当时该组织发动了针对美国一家电网企业的针对性钓鱼攻击。研究人员随后发现该组织针对位于欧洲、北美和东亚地区的攻击活动。

和 Electrum 组织不同，Covellite 组织在攻击活动中尚未使用专门针对工控系统的恶意软件。

Dragos 还在报告中归纳了 Dymalloy 组织的活动。研究人员在调查 Dragonfly 组织（也被称为 “Crouching Yeti” 和 “Energetic Bear”）的过程中发现了 Dymalloy 组织的行踪。Dragonfly 组织被指源自俄罗斯，因其使用复杂的 Havex 恶意软件而为人所知，最近它被指攻击位于美国能源企业的控制系统。

Dragos 认为 Dymalloy 组织和 Dragonfly 之间并不存在关联，或者说至少不存在直接关联，而且该组织使用的工具并不如 Havex 复杂。然而，黑客确实设法攻陷了位于土耳其、欧洲和北美地区的工控组织机构并成功访问人机界面设备。

专家认为 Dymalloy 似乎从2017年早期变得不太活跃，可能是对媒体关注以及安全研究人员的回应。

自从2017年中旬起，Dragos 就在追踪名为 “Chrysene” 的一个黑客组织，其攻击活动主要针对的是北美、西欧、以色列和伊拉克，尤其是发电行业和石油天然气行业的组织机构。

至今仍然活跃的 Chrysene 使用曾被伊朗黑客组织 OilRig 和 Greenbug 使用的框架变体。

Dragos 指出，“虽然 CHRYSENE 的恶意软件相比使用类似工具的威胁组织具有很强的增强功能，但 Dragos 尚未发现该组织所使用的专门针对工控系统的功能。所有的活动似乎只是针对 IT 渗透和监控，而所有的目标均跟工控组织机构相关。”

值得注意的是，最近遭披露的恶意软件 Trisis/Triton 是首个旨在中断安全仪表系统 (SIS) 的威胁，某些研究人员认为它和伊朗之间存在关联。

Magnallium 组织也在针对工控系统发动攻击，也被指和伊朗之间存在关联。Dragos 是在火眼公司发布关于 APT33 组织的活动之后开始追踪该组织的。

虽然某些媒体报告认为 APT33 是工控系统和关键基础设施面临的严重威胁，但 Dragos 的调查显示该组织似乎并不具有任何和工控系统相关的能力。

Dragos 公司表示，“虽然只有其中一个组织展示出能直接通过工控系统恶意软件影响工控系统网络的能力，但这些组织都至少参与了针对工控系统环境的侦察和情报收集活动。”该公司指出，这些组织在整年的活动中仍然保持相对稳定，而且该公司认为还发生了其它未知事件。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。