Foto: Getty
Hacking av kraftnettet er en av den hellige grails av hacker dyktighet. Den første virkelige strømbrudd forårsaket av hackere skjedde i nærheten av Kiev i 2015. Nå har forskere sier at en ondsinnet gruppen har fått en uovertruffen operativ tilgang til American power company systemer, og eksperter bekymre deg for at muligheten til å føre en blackout på vil kunne være i hendene på ukjente skuespillere.
Hackere Bygget et Våpen for å Utløse Strømbrudd og Det Kunne Jobbe hvor som Helst
Den tilsynelatende lokale cyberattack at kuttet strømmen til en del av ukrainas hovedstad Kiev, i desember i fjor…
Les mer
På onsdag, forskere ved Symantec publisert en rapport som skisserer den brede detaljene i etterforskningen av handlingene til en gruppe de kaller “Dragonfly 2.0.” Symantec hevder å ha bevis for at i over 20 tilfeller, hackere har fått tilgang til målrettede power company nettverk. I noen tilfeller i USA, har de klart å sikre tilgang til grensesnittene som er brukt til å styre kraftnettet utstyr. Som sikkerhet forsker John Hultquist påpeker, at gruppen “ikke har vist en evne til å manipulere de systemene de er ute etter,” men det synes at dette er en rekognoserings-oppdrag er designet for å forberede for et angrep.
Symantecs forskning er å koble dette angrepet med Dragonfly gruppe som det rapporteres på i 2014, og antas å ha vært i drift siden minst 2011. Som i den forrige saken, gruppe ser ut til å bli gradvis samle etterretninger om hvordan disse energi selskapenes drift og teste vannet på hvor langt de kan trenge inn i systemet. Dragonfly 2.0 antas å ha begynt sitt arbeid rundt desember 2015, stepping up-operasjoner i USA, Sveits og Tyrkia i første halvår 2017. “Det er en forskjell mellom å være et skritt bort fra å drive sabotasje og faktisk være i en posisjon til å utføre sabotasje,” Eric Chien, Symantec security analyst, forteller Kablet. I dette tilfellet, Chein sier at gruppen var i stand til å få den strategiske posisjon.
Disse hackere opptrer på et høyt nivå av drift, men de er ikke gjenoppfinne hjulet. Prøvde og sanne spyd phishing og vannhull teknikker ble brukt for å lure ansatte til å oppgi brukernavn og passord som ga tilgang til begrensede deler av det elektriske systemet. Ars Technica beskriver noen av hackere ” metoder:
En taktikk som er involvert ved hjelp av offentlig tilgjengelig Phishery toolkit til å sende mål et Microsoft Word-dokument som var programmert til å laste ned en mal fra et forhåndsbestemt server kontrollert av angriperne. Serveren vil da søke å laste ned maskinen for SMB legitimasjon at mange bedriftsnettverk bruk for å begrense tilgang til bekreftet brukere. I mange tilfeller laste ned datamaskiner ville reagere på dette, og i prosessen gi angriperne med brukernavn og en kryptografisk hash til målrettede nettverk. Forskere med Cisco Systems beskrevet de såkalte mal injeksjon angrep i juli. Når Dragonfly brukt passordet til brudd på selskapets nettverk, hackere vil deretter gå til den operative nettverk.
Når du er inne, gruppen var i stand til å installere bakdører som er justert med trojanere som brukes av den første Dragonfly drift. Det var også rettsmedisinske bevis på at, i de mest vellykkede tilfeller, angriperne var i stand til å ta skjermbilder av kontroll paneler som sender kommandoer til effektbrytere som regulerer flyten av elektrisitet. Symantec sa at det har jobbet med selskaper som er berørt for å fjerne skadelig programvare, men det vil være avgjørende for personell til å oppdatere sin påloggingsinformasjon. Det har også advart over 100 energiselskaper om teknikkene som ble brukt, og kunne potensielt ha kompromitterte systemer.
Symantec er ikke avsløre alt den har lært om angriperne eller navnene sine mål. Det bemerker også at felles verktøy ble brukt og kjente sårbarheter ble utnyttet. Koblingen til den første runden av Dragonfly angrep er i hovedsak basert på to deler av malware som både angrep dele, metoder for inntrenging, og valg av energi selskaper som mål. Andre aliaser som har vært knyttet til denne gruppen inkluderer Energisk Bjørn, Huk Yeti, og Koala. Den AMERIKANSKE regjeringen koblet Dragonfly angrep til den russiske regjeringen i dens desember cybersecurity rapport om valget-relaterte hacking. Men Symantec gjør ingen krav om opprinnelsesland og skriver at russiske og franske språk som ble brukt, en eller begge av noe som kan være falskt flagg.
Det faktum at disse operasjoner synes å være fokusert på å samle etterretning ikke gi et sterkt signal om at en offentlig aktør som kan være ansvarlig. “Hva er det planer om å gjøre med alt dette intelligens har ennå til å bli klar, men evner ikke strekker til i vesentlig grad å forstyrre målrettet organisasjoner bør det velger å gjøre det,” Symantec skrev i sin rapport. “Det som er klart er at Dragonfly er en svært erfarne trussel skuespiller, i stand til å kompromittere en rekke organisasjoner, stjele informasjon, og å få tilgang til sentrale systemer.”
To faktorer bør avlaste noen bekymringer. Det ene er at vår nasjon er desentralisert kraftnettet vil sannsynligvis være i stand til å gjenopprette fra et angrep ganske raskt. Et 2016 hack på kraftnettet i Kiev bare tok systemet ned til en time. Den andre del av gode nyheter er at hackere trenger å distribuere et stykke tilpasset malware som “Crash Overstyre” – koden som ble brukt til å sabotere systemer i Kiev. Symantec er ikke som rapporterte at de noen form for verktøy som kan faktisk ta kontroll over systemet har blitt identifisert. Det vises til at i dette tilfellet, gruppen er fortsatt å samle intel det er behov for. Som Robert M. Lee, grunnlegger av sikkerhet fast Dragos påpekte på Twitter, informasjonsinnhenting sitert i Symantec rapporten er “nøyaktig hva du ønsker å samle (og tekniske dokumenter som Symantec har sagt ble stjålet) til å designe angrep.”
I mellomtiden, Symantec har skissert defensiv fremgangsmåte for elektrisk bedrifter til å ta og OSS cyber-operasjoner må ta denne utviklingen hensyn. Hvem denne gruppen er, de er i fremgang i sin misjon, og de synes ganske tålmodig.
[Symantec, Kablet, Ars Technica]