今日頭條
官方微信
官方抖音
資訊頻道當(dāng)?shù)貢r間10月30日,印度核電公司(NuclearPower Corporation)證實,庫丹庫拉姆核電站(Kudankulam)確實感染了朝鮮政府資助的黑客組織創(chuàng)建的惡意軟件。以針對“核電站”的國家級網(wǎng)絡(luò)攻擊,再次將我們的視線引導(dǎo)到網(wǎng)絡(luò)戰(zhàn),同時它以“核”級別的高危性事件,加劇了維護關(guān)鍵信息系統(tǒng)國防大安全的緊迫性。
庫丹庫拉姆核電廠,又稱Koodankulam NPP或KKNPP,是位于印度泰米爾納德邦Kudankulam的最大核電站,該廠建設(shè)于2002年。
這一次,它成為國家級網(wǎng)絡(luò)攻擊“風(fēng)暴”的核心。
一波三折的故事線
Kudankulam核電站確認被國家級黑客攻擊
10月28日,也就是本周一就有人在Twitter上發(fā)文稱:Kudankulam核電站(KNPP)可能已經(jīng)感染了危險的惡意軟件。
但當(dāng)時,KNPP的官員否認他們遭受了任何惡意軟件感染,并于周二(10月29日)發(fā)表聲明將這些推文描述為“虛假信息”,并稱“對發(fā)電廠進行網(wǎng)絡(luò)攻擊是‘不可能的’ ”。
然而,僅一天時間,這一被官方稱之為“虛假消息”的事件卻被自己推翻。10月30日,KNPP的母公司NPCIL 在另一份聲明中承認Kudankulam核電站確實感染了朝鮮政府資助的黑客組織創(chuàng)建的惡意軟件。
不僅官方證實,印度國家技術(shù)研究組織(NTRO)的前安全分析師Pukhraj Singh也給出了實證,他指出最近在VirusTotal上傳的樣本實際上與KNPP上的惡意軟件感染有關(guān)。同時,他還表示:特定的惡意軟件樣本,包括KNPP內(nèi)部網(wǎng)絡(luò)的硬編碼憑據(jù),這些證據(jù)表明該惡意軟件經(jīng)過專門編譯以在電廠的IT網(wǎng)絡(luò)內(nèi)部傳播和運行。
攻擊并非偶然?
Dtrack惡意軟件9月時就已瞄準(zhǔn)核電工廠
在進一步研究中,幾位安全研究人員將該惡意軟件識別為Dtrack的一種版本,Dtrack是由朝鮮精英黑客組織Lazarus Group開發(fā)的后門木馬。
值得注意的是,該惡意軟件在今年9月4日前就已被發(fā)現(xiàn)其針對印度核電廠的網(wǎng)絡(luò)攻擊活動。當(dāng)時名印度的威脅情報分析師Singh曾在Twitter上告知此事。
隨即在9月23日,卡巴斯基發(fā)布了一則關(guān)于Dtrack的惡意代碼報告,報告將DTrackmalware描述為可用于監(jiān)視受害者和竊取感興趣的數(shù)據(jù),并稱該惡意軟件支持通常在遠程訪問木馬(RAT)中實現(xiàn)的功能,有效負載可執(zhí)行文件支持的一些功能列表如下:
· 鍵盤記錄
· 檢索瀏覽器歷史記錄
· 收集主機IP地址,有關(guān)可用網(wǎng)絡(luò)和活動連接的信息
· 列出所有正在運行的進程
· 列出所有可用磁盤卷上的所有文件
從其功能可以明顯看出,Dtrack通常用于偵察目的,并用作其他惡意軟件有效載荷的投遞器。
從數(shù)字貨幣到能源工業(yè)領(lǐng)域
拉撒路攻擊目標(biāo)再擴大
Dtrack隸屬于拉撒路集團(Lazarus Group)。這是一家受朝鮮政府追捧的知名網(wǎng)絡(luò)間諜組織。
拉撒路(Lazarus)小組又名APT-C-26,是從2009年以來一直處于活躍的APT組織。從歷史上看,該小組主要以經(jīng)濟利益為目的,攻擊金融等行業(yè),并逐步對多個大型數(shù)字貨幣交易進行攻擊滲透。如:
——2014年,索尼影視娛樂公司遭到黑客襲擊,美國政府出面譴責(zé)Lazarus的行為;
——2016年2月,一個未知的攻擊者試圖從孟加拉國中央銀行竊取8100萬美金,事后多篇分析報道稱該事件與Lazarus組織有關(guān);
——2016年5月,BAE公司遭到襲擊,公布了一份有關(guān)攻擊者使用的擦除程序的代碼分析,事后Anomali實驗室確認這一工具與Lazarus組織的擦除工具代碼極為相似;
——2017年2月份,波蘭媒體的一篇報道打破了關(guān)于一次銀行攻擊事件的平靜,賽門鐵克從波蘭受攻擊的金融部門提取到Lazarus組織慣用的擦除工具(根據(jù)字符串重用的線索);
——2019年3月,360安全大腦率先追蹤溯源發(fā)現(xiàn)該組織針對OKEX等多家知名數(shù)字貨幣交易所發(fā)起的攻擊行動。
如今,這個有著國家級背景的黑客組織攻擊對象再擴大從金融數(shù)字貨幣,轉(zhuǎn)向能源和工業(yè)領(lǐng)域的目標(biāo)。
外文參考資料:
https://www.zdnet.com/article/confirmed-north-korean-malware-found-on-indian-nuclear-plants-network/
來源:國際安全智庫
北京市公安局海淀分局備案號:11010802023656號