圖片來源: 

Department of Energy

美國國土安全部旗下的美國電腦緊急事件應變小組(United States Computer Emergency Readiness Team,US-CERT)周四(3/15)指出,根據美國國土安全部(DHS)及聯邦調查局(FBI)的調查與分析,俄羅斯政府從2016年開始便針對美國的政府單位與重大基礎建設展開網路攻擊,並揭露了俄羅斯政府與駭客的戰術、技術與程序(Tactics, Techniques and Procedures,TPPs),同一天美國財政部即宣布將針對參與俄羅斯駭客行動的19名個人與5個組織展開制裁,凍結他們的資產。

US-CERT指出,由俄羅斯政府主導的駭客行動除了鎖定美國政府機關外,還針對重要的能源、核子、商業設施、水資源、航太及製造業等領域的組織發動攻擊,而且採用縝密的多階段入侵行動,先進攻外圍的、安全機制較為薄弱的合作業者,取得遠端存取能源網路的管道之後,再蒐集有關工業控制系統的資訊。

俄羅斯的攻擊行動鎖定了兩種類別的受害者,包括階段性目標與終極目標,前者指的是那些外圍的第三方業者,以作為入侵終極目標的起點。

DHS與FBI將俄羅斯的駭客行動分為7個階段,依序是偵察、製作武器、寄送魚叉式網釣郵件、開採目標對象、安裝惡意程式、執行命令與控制,以及針對目標對象展開行動。顯示出駭客有組織地探訪攻擊目標的生態體系,採用魚叉式網釣郵件與水坑攻擊等手法先行滲透階段性目標,進而入侵終極目標的網路,例如使用階段性目標的VPN、RDP、Outlook Web Access等遠端存取服務作為攻擊終極目標的跳板。

迄今已確定駭客存取了有關發電廠控制系統(ICS)及數據採集與監控系統(SCADA)的檔案,並複製了可存取ICS系統的檔案與配置。

為了避免行跡敗露,駭客會在入侵階段性目標之後會刪除紀錄以抹除自己的足跡,也會在終極目標的網路上刪除所建立的螢幕截圖與特定的登錄機碼,或是任何曾經安裝過的工具。

美國財政部長Steven  Mnuchin表示,美國政府以制裁來反擊俄羅斯的駭客行動,該國政府企圖干預美國大選、發動破壞性的網路攻擊行動,以及入侵重要的基礎架構,而且這只是其中的一部份,美國財政部亦有意切斷俄羅斯進入美國金融體系的管道,讓俄羅斯的官員與獨裁者承擔該有的責任。


Advertisement

更多 iThome相關內容