信息來源:4hou
一�����、事件背景
核電站的計算機上如果駐留惡意軟件會造成什么后果?近日��,發(fā)現(xiàn)惡意軟件Dtrack被植入了了印度Kudankulam核電站的網(wǎng)絡(luò)中。
研究人員正在分析Dtrack的傳播路徑��,有人說它是從網(wǎng)絡(luò)釣魚電子郵件進入的��。
二��、事件分析
1��、追蹤Dtrack
德勤阿根廷公司分析師加布里埃拉·尼古拉(Gabriela Nicolao)監(jiān)測到最新惡意軟件Dtrack�����,存在于印度最大的核電廠的計算機上����。
尼古拉在布宜諾斯艾利斯接受采訪時對《阿切爾新聞》說:“如果核設(shè)施出現(xiàn)問題�,它將對現(xiàn)實生活產(chǎn)生巨大影響?!?
幸運的是,Nicolao在11月在阿根廷的一次會議上所解釋��,Dtrack惡意軟件并沒有進入實際控制核電站的機器�����,而是進入了管理計算機。
但是此事件使人們對惡意軟件如何進入此敏感設(shè)施提出了疑問��。
印度Kudankulam核電站的控制室
2����、Dtrack是如何進入的?
韓國研究人員說��,這些黑客組織是來自朝鮮的Kimsuky����,冒充電子郵件偽裝來自印度核能組織(如原子能監(jiān)管局和Bhabha原子研究中心)員工的電子郵件,研究人員在Twitter上發(fā)布了一封電子郵件����,該電子郵件似乎是網(wǎng)上誘餌之一
“很抱歉打擾您。從美國寄給我們一份監(jiān)管文件�,這是不公開的,我們希望您檢查該文檔并提出您的意見��?����!彪娮余]件中寫道,誘使收件人單擊附件�����。
根據(jù)Issue Makers Lab的信息��,將釣魚電子郵件發(fā)送到SA Bhardwaj�。
3、被黑的服務器
來自印度的網(wǎng)絡(luò)安全專家Yash Kadakia告訴Archer News��,他分析了攻擊者黑客發(fā)送的網(wǎng)絡(luò)誘騙服務器����。他發(fā)現(xiàn)����,他們向包括印度航天和核計劃在內(nèi)的五個機構(gòu)的十幾個人發(fā)送了網(wǎng)絡(luò)釣魚電子郵件。
他們的目標包括印度原子能管理委員會前主席SA Bhardwaj和該國原子能委員會前主席Anil Kakodkar�����。網(wǎng)絡(luò)釣魚持續(xù)了大約兩年時間��。
據(jù)Kadakia稱�����,在某個時候,與核電站有聯(lián)系的人單擊了�,電子郵件將Dtrack下載到他或她的計算機上。然后����,印度政府說,當該人出于“管理目的”連接到Kudankulam網(wǎng)絡(luò)時����,Dtrack會在工廠計算機上運行。
網(wǎng)絡(luò)情報分析師Pukhraj Singh于9月7日以秘密推文宣布了這一事件��,印度政府隨后在10月30日的新聞稿中證實了這一事件�。
上圖為一位網(wǎng)絡(luò)情報分析師在9月7日發(fā)布了有關(guān)Kudankulam惡意軟件案的推文
4、Dtrack是如何工作的�?
Nicolao說,該惡意軟件收集信息并將其發(fā)送到另一臺計算機��,這是核電站網(wǎng)絡(luò)內(nèi)的另一臺計算機����。然后,Dtrack收集信息并將其發(fā)送回攻擊者�, Dtrack是一種具有很多功能的惡意軟件。
根據(jù)Nicolao的說法,這很可能是針對性攻擊����,因為攻擊者在其代碼中使用了來自工廠的憑據(jù)。
Issue Makers Lab的推文顯示了KKNPP或Kudankulam核電站的用戶名��。
5�、其他版本
研究人員還發(fā)現(xiàn)了其他版本的Dtrack。
卡巴斯基在9月份報道稱����,他們稱為Lazarus小組的黑客在印度使用Dtrack作為間諜工具,并使用ATMDtrack 從印度的ATM機上竊取卡號��。
卡巴斯基將拉撒路組織與對韓國�����,美國和其他國家的攻擊聯(lián)系起來�。
該公司的研究人員還發(fā)現(xiàn)與2013年的DarkSeoul行動有關(guān)�����,攻擊者在韓國電視臺和銀行中襲擊了30,000臺計算機�,從而阻止人們?nèi)″X。
卡巴斯基的康斯坦丁·佐科夫(Konstantin Zykov)寫道: “似乎他們重用了部分舊代碼來攻擊印度的金融部門和研究中心?!?
據(jù)賽門鐵克稱,2017年臭名昭著的WannaCry勒索軟件攻擊中使用的某些工具與Lazarus組“緊密聯(lián)系”�����。
Zykov說:“就惡意軟件開發(fā)而言�����,我們能夠找到的大量Dtrack樣本表明��,Lazarus組是最活躍的APT組之一����。”
在ATM機上的印度盧比
6����、Dtrack進球
盡管Dtrack無法操作核反應堆,但仍可能造成傷害�����。
《亞洲時報》報道��,Dtrack攻擊者是在收集印度該廠的燃料產(chǎn)量,這是評估該國民用和軍事核能力計劃的一部分�。而且,一旦攻擊者知道了工廠的工作方式��,他們就可以返回更多信息����,包括嘗試自己控制機器。
“這是一種偵察工具�,”尼古拉說?�!斑@意味著這可能是更大攻擊的第一步�。”
印度庫丹庫拉姆邦的庫丹庫拉姆核電站
印度政府表示�����,其關(guān)鍵的內(nèi)部網(wǎng)絡(luò)(運行核設(shè)備的計算機)受到保護����,因為它們未連接到Internet����。
但是安全專家說�,即使是物理隔絕的系統(tǒng)也會受到損害�。
他們指出了2010年的Stuxnet攻擊,其中Stuxnet惡意軟件通過驅(qū)動器被帶入伊朗核設(shè)施�,并摧毀了數(shù)百臺離心機。
三�、安全措施
據(jù)新聞報道,印度政府正在做出改變����,加強網(wǎng)絡(luò)安全。
Issue Makers Lab說����,4月份,Kimsuky黑客試圖竊取印度新型燃燒reactor的核反應堆的設(shè)計信息�����。
實驗室說��,在一月份����,他們試圖襲擊比利時核研究中心的研究人員。
11月�, 審計師發(fā)現(xiàn) 美國能源部如何管理其核設(shè)施的網(wǎng)絡(luò)安全方面存在漏洞�����。
監(jiān)察長辦公室在報告中說:“如果沒有改善措施來解決我們報告中指出的漏洞�����,該部的信息系統(tǒng)和數(shù)據(jù)可能會遭到泄露�,丟失或修改�。”
