据报道,美国的制造工厂、核电站和其他能源设施正遭受网络攻击的威胁。此次威胁事件至少攻击了美国十几家电力公司,包括在堪萨斯州的Wolf Creek核设施。由于被攻击公司的控制能源基础设施系统以及核设施与企业网络是完全分离的,所以此次攻击只影响了行政和商业网络,并未影响控制能源基础设施系统及核设施。
美国国土安全部报告指出,攻击者使用的技术与俄罗斯相关的APT组织(CrouchingYeti, Energetic Bear 和 Dragonfly)相似,而该APT组织一直以工业企业为目标。攻击乌克兰电网也被认为是该组织的杰作。
有研究人员认为,此次黑客攻击使用了“水坑”和“中间人”(MitM) 攻击,而这次攻击行动同时还针对世界其他地区的政府网站的用户,某些用来攻击的文档与能源部门并没有明显的联系。
亚信安全已经截获此次攻击中使用的恶意程序,并将该恶意程序命名为TROJ_RELSLODR.D。
入侵分析
为了获取用户凭证和网络访问权限,攻击者首先向企业的工作人员发送带有恶意文档的钓鱼邮件,这些恶意文档通常伪装成简历或者环境报告,其并未使用传统的VBA宏或其他嵌入式脚本,而是使用了模板注入(template injection )技术。
【钓鱼邮件示例】
什么是模板注入技术?
模板注入技术是指,当受害者打开恶意文档时,在启动word 应用程序的同时, 其会从攻击者控制的SMB服务器加载一个模板文件。使得攻击者可以不知不觉的获取到用户凭证,该模板文件也可以下载其它恶意文件到被感染机器上。
研究人员通过进一步研究发现,此次攻击中使用的模板注入与一个名为Phishery 的开源工具之间存在联系,而此类相似性还无法判断是否是巧合,还是攻击者修改了现有的工具,又或者是黑客的混淆手段。
【github上的Phishery开源工具】
本次攻击黑客的主要目标是窃取关键基础设施信息,特别是针对美国及欧洲。而黑客可以轻松攻入美国多个能源公司以及核电站,说明目前关键基础设施企业和机构的安全防护工作还存在很大漏洞。基础设施与人们生活息息相关,黑客已经将触角伸向该领域,该领域安全问题不容忽视。
我国已经开始重视关键基础设施网络安全问题,国家正在研讨《关键信息基础设施安全保护条例(征求意见稿)》,其中第六条明确指出,关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。
针对关键基础设置网络安全,我们应当制定实施多角度、多层次、多策略防护相结合的解决方案,主动侦测和防御是必不可少的。亚信安全深度发现设TDA可掌握全网络的流量来侦测并响应未知威胁。 TDA能侦测所有端口及100 多种通讯协议的应用,为用户提供最全面的网络威胁侦测。
亚信安全最新病毒码版本13.526.60(2017年7 月11日已经发布)包含对该恶意程序检测,请用户及时升级病毒码版本。
*本文作者:亚信安全