示意圖,與新聞事件無關。

圖片來源: 

DOE

賽門鐵克研究顯示近日美國與歐洲能源設施遭到新一波駭客攻擊,駭客可能已經成功入侵這些設施的作業設備。
 
根據駭客使用的工具和手法,賽門鐵克相信發動這波攻擊的是一個名為Dragonfly的駭客組織,它在2011年到2014年相當活躍,經過短暫銷聲匿跡後,過去兩年又死灰復燃。賽門鐵克因此稱這波攻擊行動為Dragonfly 2.0。
 
研究顯示,這一波攻擊從2015年底開始,並在今年4月更加頻繁。受害者涵括美國、土耳其、瑞士及其他國家的能源設施。美國和土耳其的能源機構過去也曾經是Dragonfly攻擊目標
 
而如同之前一樣,Dragonfly 2.0的駭客組織也使用多種攻擊方法,包括惡意網釣郵件、水坑式攻擊及木馬程式。2015年12月美國一家能源機構就接到Dragonfly冒充是跨年派對活動邀請函,之後又於2016及2017年發網釣郵件為害。值得注意的是,這些郵件除了一般的商務活動外,還使用了能源業專用的用語,顯示對能源業作業相當熟悉。一旦開啟所附文件,就會讓受害者網路帳密被竊,並回傳外部駭客伺服器。
 
研究人員Eric Chien指出,Dragonfly在數年前的上一波行動比較像是「初探性」攻擊,只是在嘗試存取目標機構,而2.0版攻擊則進入全新階段,駭客已逐漸蒐到足夠存取能源設施作業系統的資訊,可用於未來破壞性行動。研究人員發現在某一螢幕截圖中,「cntrl」字串出現在多個機器描述中,可能表示這些機器已經成功存取能源機構的運作系統。
 
至於Dragonfly 2.0攻擊是否為國家資助的攻擊行動,賽門鐵克研究人員並未掌握明確關聯證據。甚至連Dragonfly的真正起源,賽門鐵克也還無法確定,因為它為了避免追查,只使用很常見的工具,像是PowerShell、PsExec、Bitsadmin,不用任何零時攻擊工具,而且程式碼有些是俄文字串,但也有法文。
 
近年電廠、機場及生產設施已經成為駭客攻擊主要目標。烏克蘭近年多次發生發電廠及供電設備被駭客攻擊,行兇者據信為俄羅斯政府。是以美國國土安全部警告鎖定基礎設施工控設備的攻擊可望愈來愈多。

 


Advertisement

更多 iThome相關內容