美司法部指控四名俄羅斯政府僱員入侵沙特石油設施和美核電站
據TechCrunch報導,美國司法部宣布對四名俄羅斯政府僱員提出指控,指控他們進行了長達數年的針對關鍵基礎設施的黑客攻擊活動,包括一家美國核電運營商和一家沙特石油化工設施。
第一份起訴書來自2021年6月,指控36歲的俄羅斯國防部計算機程序員Evgeny Viktorovich Gladkikh和兩名同謀者,計劃入侵全球能源設施的工業控制系統–維持工業設施運行的關鍵設備。Gladkikh被認為是臭名昭著的Triton惡意軟件的幕後黑手,該軟件在2017年被用來攻擊沙特阿拉伯的一家石油化工廠。黑客使用該惡意軟件,試圖使工廠的安全系統失效,以防止可能導致洩漏或爆炸的危險狀況。2018年10月,Triton首次與俄羅斯聯繫在一起。
據美國司法部稱,在他們炸毀沙特工廠的陰謀失敗後,黑客們試圖入侵一家管理美國類似關鍵基礎設施實體的公司的電腦。
第二份起訴書於2021年8月提交,指控Pavel Aleksandrovich Akulov、 Mikhail Mikhailovich Gavrilov 和Marat Valeryevich Tyukov,據稱他們都是俄羅斯聯邦安全局(FSB)71330軍事單位的成員,在2012年至2017年間針對能源部門進行了一系列攻擊。美國司法部說,這些被安全研究人員稱為”DragonFly”、”Energetic Bear”和”Crouching Yeti”的黑客試圖進入國際能源行業公司的計算機網絡,包括石油和天然氣公司、核電站以及公用事業和電力傳輸公司。
在2012年至2014年期間進行的第一階段攻擊中,威脅者破壞了工業控制設備製造商和軟件供應商的網絡,然後將Havex惡意軟件藏在軟件更新中。這與魚叉式攻擊和“水坑攻擊”(一種通過感染用戶經常訪問的網站來鎖定用戶的攻擊形式)一起,使攻擊者能夠在美國和國外的17000多台獨特的設備上安裝惡意軟件。
第二階段,”DragonFly 2.0″,從2014年到2017年,涉及針對500多個美國和國際組織的3300多個用戶,包括美國政府的核管理委員會和狼溪核電運營集團。
美國司法部副部長Lisa Monaco 在一份聲明中說:“俄羅斯國家支持的黑客對美國和世界各地的關鍵基礎設施構成嚴重和持續的威脅。儘管今天公佈的刑事指控反映了過去的活動,但它們清楚地表明,美國企業迫切需要加強他們的防禦並保持警惕。”
Mandiant公司情報分析副總裁John Hultquist說,這些起訴書提供了聯邦安全局在俄羅斯國家支持的黑客企圖中的一瞥,並對實施這些破壞性網絡攻擊的俄羅斯入侵團體發出了“警告”。他說:“這些行動是針對個人的,意在向為這些項目工作的任何人發出信號,他們不會很快離開俄羅斯。”
但Hultquist警告說,黑客很可能保留了對這些網絡的訪問。“值得注意的是,我們從來沒有見過這個行為者真正進行破壞性的攻擊,只是鑽進敏感的關鍵基礎設施,以備將來的一些突發事件,”他告訴TechCrunch。“我們對最近事件的擔憂是,這可能是我們一直在等待的突發事件。”
將Triton惡意軟件背後的組織稱為”Xenotime”的Dragos公司的高級對手獵手Casey Brooks告訴TechCrunch,這些起訴不太可能阻止黑客的行動。
“這些活動小組資源豐富,可以進行連續的複雜行動。”Brooks說:“雖然起訴書詳細說明了這些集團的一些入侵活動,但其廣度更大。例如,我們知道,對於Xenotime來說,這只是他們整體活動的一小部分。必須認識到,這些團體仍然很活躍,起訴書可能對阻止這些敵對團體的未來行動沒有什麼作用。”
美國總統拜登此前警告說,為回應西方對俄羅斯入侵烏克蘭的製裁,俄羅斯對美國企業的網絡威脅越來越大,三天后,這些起訴書被公開。這也是在司法部起訴為俄羅斯軍事情報機構GRU服務的六名黑客後的幾天。這些被稱為“ Sandworm”的黑客被指控進行了五年的攻擊,包括2017年針對全球數百家公司和醫院的破壞性的NotPetya網絡攻擊,以及導致烏克蘭電網癱瘓的網絡攻擊。