今日頭條
官方微信
官方抖音
資訊頻道當地時間10月30日,印度核電公司(NuclearPower Corporation)證實,庫丹庫拉姆核電站(Kudankulam)確實感染了朝鮮政府資助的黑客組織創建的惡意軟件。以針對“核電站”的國家級網絡攻擊,再次將我們的視線引導到網絡戰,同時它以“核”級別的高危性事件,加劇了維護關鍵信息系統國防大安全的緊迫性。
庫丹庫拉姆核電廠,又稱Koodankulam NPP或KKNPP,是位于印度泰米爾納德邦Kudankulam的最大核電站,該廠建設于2002年。
這一次,它成為國家級網絡攻擊“風暴”的核心。
一波三折的故事線
Kudankulam核電站確認被國家級黑客攻擊
10月28日,也就是本周一就有人在Twitter上發文稱:Kudankulam核電站(KNPP)可能已經感染了危險的惡意軟件。
但當時,KNPP的官員否認他們遭受了任何惡意軟件感染,并于周二(10月29日)發表聲明將這些推文描述為“虛假信息”,并稱“對發電廠進行網絡攻擊是‘不可能的’ ”。
然而,僅一天時間,這一被官方稱之為“虛假消息”的事件卻被自己推翻。10月30日,KNPP的母公司NPCIL 在另一份聲明中承認Kudankulam核電站確實感染了朝鮮政府資助的黑客組織創建的惡意軟件。
不僅官方證實,印度國家技術研究組織(NTRO)的前安全分析師Pukhraj Singh也給出了實證,他指出最近在VirusTotal上傳的樣本實際上與KNPP上的惡意軟件感染有關。同時,他還表示:特定的惡意軟件樣本,包括KNPP內部網絡的硬編碼憑據,這些證據表明該惡意軟件經過專門編譯以在電廠的IT網絡內部傳播和運行。
攻擊并非偶然?
Dtrack惡意軟件9月時就已瞄準核電工廠
在進一步研究中,幾位安全研究人員將該惡意軟件識別為Dtrack的一種版本,Dtrack是由朝鮮精英黑客組織Lazarus Group開發的后門木馬。
值得注意的是,該惡意軟件在今年9月4日前就已被發現其針對印度核電廠的網絡攻擊活動。當時名印度的威脅情報分析師Singh曾在Twitter上告知此事。
隨即在9月23日,卡巴斯基發布了一則關于Dtrack的惡意代碼報告,報告將DTrackmalware描述為可用于監視受害者和竊取感興趣的數據,并稱該惡意軟件支持通常在遠程訪問木馬(RAT)中實現的功能,有效負載可執行文件支持的一些功能列表如下:
· 鍵盤記錄
· 檢索瀏覽器歷史記錄
· 收集主機IP地址,有關可用網絡和活動連接的信息
· 列出所有正在運行的進程
· 列出所有可用磁盤卷上的所有文件
從其功能可以明顯看出,Dtrack通常用于偵察目的,并用作其他惡意軟件有效載荷的投遞器。
從數字貨幣到能源工業領域
拉撒路攻擊目標再擴大
Dtrack隸屬于拉撒路集團(Lazarus Group)。這是一家受朝鮮政府追捧的知名網絡間諜組織。
拉撒路(Lazarus)小組又名APT-C-26,是從2009年以來一直處于活躍的APT組織。從歷史上看,該小組主要以經濟利益為目的,攻擊金融等行業,并逐步對多個大型數字貨幣交易進行攻擊滲透。如:
——2014年,索尼影視娛樂公司遭到黑客襲擊,美國政府出面譴責Lazarus的行為;
——2016年2月,一個未知的攻擊者試圖從孟加拉國中央銀行竊取8100萬美金,事后多篇分析報道稱該事件與Lazarus組織有關;
——2016年5月,BAE公司遭到襲擊,公布了一份有關攻擊者使用的擦除程序的代碼分析,事后Anomali實驗室確認這一工具與Lazarus組織的擦除工具代碼極為相似;
——2017年2月份,波蘭媒體的一篇報道打破了關于一次銀行攻擊事件的平靜,賽門鐵克從波蘭受攻擊的金融部門提取到Lazarus組織慣用的擦除工具(根據字符串重用的線索);
——2019年3月,360安全大腦率先追蹤溯源發現該組織針對OKEX等多家知名數字貨幣交易所發起的攻擊行動。
如今,這個有著國家級背景的黑客組織攻擊對象再擴大從金融數字貨幣,轉向能源和工業領域的目標。
外文參考資料:
https://www.zdnet.com/article/confirmed-north-korean-malware-found-on-indian-nuclear-plants-network/
來源:國際安全智庫
北京市公安局海淀分局備案號:11010802023656號