Foto: Getty
Hacking elnettet er en af de hellige grails af hacker tapperhed. Den første rigtige strømafbrydelse forårsaget af hackere skete nær Kiev i 2015. Nu siger forskerne, at en ondsindet gruppe har opnået en hidtil uset operationelle adgang til Amerikansk el-selskab systemer, og eksperter er bekymret for, at evnen til at forårsage en strømafbrydelse, vil kunne være i hænderne på ukendte skuespillere.
Hackere Bygget et Våben til at Udløse Strømafbrydelser—og Det Kunne Arbejde hvor som Helst
Den tilsyneladende lokale cyberattack at skære magt til en del af Ukraines hovedstad, Kiev, i December sidste år…
Læs mere
Onsdag, forskerne på Symantec offentliggjort en rapport, der skitserer de overordnede oplysninger om deres undersøgelse af handlinger foretaget af en gruppe, de ringer “Dragonfly 2.0.” Symantec hævder at have beviser for, at der i mere end 20 tilfælde hackere har fået adgang til en målrettet power company netværk. I nogle tilfælde i USA, de formåede at sikre sig adgang til de grænseflader, der anvendes til styring af elnettet udstyr. Som sikkerhed forsker John Hultquist påpeger, at gruppen “ikke har vist en evne til at manipulere med de systemer, de er efter,” men det synes, at dette er en rekognoscering mission, der havde til formål at forberede et angreb.
Symantec ‘ s forskning er at forbinde dette angreb med Dragonfly-gruppen, at det rapporteret om i 2014 og menes at have været i drift i hvert fald siden 2011. Som i det foregående tilfælde, at den gruppe, der synes at være efterhånden indsamling af efterretninger om, hvordan disse energi-virksomhedernes drift og teste de farvande, om hvor langt de kan trænge ind i systemet. Dragonfly 2.0 menes at have begyndt sit arbejde omkring December 2015, træde op operationer i USA, Schweiz og Tyrkiet i den første halvdel af 2017. “Der er en forskel mellem at være et skridt væk fra at gennemføre sabotage og faktisk bliver i stand til at udføre sabotage,” Eric Chien, en Symantec security analyst, fortæller Wired. I dette tilfælde, Chein siger, at gruppen var i stand til at få denne strategiske position.
Disse hackere er at handle på en høj grad af drift, men de er ikke at genopfinde hjulet. Afprøvede og sande spear phishing og vanding hul teknikker blev brugt til at narre medarbejdere til at afsløre dine brugernavne og adgangskoder, som gav adgang til begrænsede dele af det elektriske system. Ars Technica beskriver nogle af de hackere’ metoder:
En taktik, der er involveret bruge de offentligt tilgængelige Phishery toolkit til at sende mål til et Microsoft Word-dokument, der var programmeret til at downloade en skabelon fra en forudbestemt server, der kontrolleres af hackere. Serveren vil derefter forespørgslen downloading computer til SMB-legitimationsoplysninger, der er mange firmanetværk bruge til at begrænse adgang til verified brugere. I mange tilfælde downloade computere ville reagere, og i den proces giver angriberne med det brugernavn og en kryptografisk hash til målrettede netværk. Forskere med Cisco Systems beskrevet den såkaldte skabelon injection angreb i juli. Når Dragonfly brugt password til strid er en del af virksomhedens netværk, hackere ville så kør til de operationelle netværk.
Når du er inde, gruppen var i stand til at installere bagdøre, der er afstemt med den trojanske heste, der bruges af den første Guldsmed drift. Der var også retsmedicinske beviser for, at der i de vellykkede tilfælde, angriberne var i stand til at tage screenshots af de kontrolpaneler, at sende kommandoer til afbrydere at regulere strømmen af elektricitet. Symantec sagde, at det har fungeret med de virksomheder, der blev ramt, til at fjerne skadelig software, men det vil være afgørende for personale til at opdatere deres loginoplysninger. Det har også advaret om, at de 100 energiselskaber om de teknikker, der blev brugt, og kunne potentielt have kompromitterede systemer.
Symantec er ikke afsløre alt, hvad det har lært om hackere eller navnene på deres mål. Den bemærker også, at fælles værktøjer, der blev anvendt, og kendte sårbarheder blev udnyttet. Link til første runde af Dragonfly-angreb er primært baseret på to stykker malware, der både angreb dele, metoder til indtrængen, og valget af energi-virksomhederne som mål. Andre kaldenavne, som har været bundet til denne gruppe omfatter Energiske Bære, Sammenkrøben Yeti, og Koala. Den AMERIKANSKE regering har tilsluttet Dragonfly angreb til den russiske regering i December cybersecurity rapport om valg-relaterede hacking. Men Symantec er ikke krav om oprindelsesland og skriver, at den russiske og franske sprog blev brugt, en eller begge, som kunne være falsk flag.
Det faktum, at disse operationer synes at være fokuseret på indsamling af efterretninger, som ikke giver et stærkt signal om, at en regering, skuespiller kunne være ansvarlig. “Hvad er det planer om at gøre med alt dette intelligens har endnu til at blive klar, men dets muligheder må udvides til at omfatte væsentligt forstyrre målrettet organisationer, skal det vælge at gøre det,” Symantec skrev i sin rapport. “Det er klart, at Dragonfly er en meget erfaren trussel, skuespiller, i stand til at gå på kompromis med mange organisationer, at stjæle oplysninger og få adgang til centrale systemer.”
To faktorer, der skal aflaste nogle bekymringer. Den ene er, at vores nation er decentraliseret elnettet vil sandsynligvis være i stand til at inddrive fra en angrebet temmelig hurtigt. En 2016 hack på elnettet i Kiev kun tog systemet ned til en time. Den anden god nyhed er, at hackere vil være nødvendigt at indsætte et stykke af brugerdefinerede malware som “Crash Override” – kode, der blev brugt til at sabotere systemer i Kiev. Symantec er ikke rapporterer, at enhver form for værktøjer, der kan faktisk tage kontrol over systemet, er blevet identificeret. Det ser ud til, at i dette tilfælde, gruppen er stadig samle intel it-behov. Som Robert M. Lee, grundlægger af vagtselskab Dragos pegede ud på Twitter, indsamling af oplysninger, som er citeret i Symantec rapporten er “lige præcis, hvad du gerne vil have til at indsamle (og tekniske dokumenter, som Symantec har sagt, blev stjålet) til at designe angreb.”
I mellemtiden, Symantec har skitseret defensive skridt for el-virksomheder til at tage og AMERIKANSKE it-drift bliver nødt til at tage denne udvikling i betragtning. Hvem denne gruppe er, at de er at gøre fremskridt i deres mission, og de synes helt patient.
[Symantec, Kabling, Ars Technica]