Foto: Getty
Hacking das Stromnetz ist eines der Heiligen grails hacker-Fähigkeiten. Die ersten richtigen Stromausfall durch Hacker verursacht aufgetreten, in der Nähe von Kiew im Jahr 2015. Jetzt sagen Forscher, dass eine bösartige Gruppe gewonnen hat beispiellose operativer Zugang zur American power Systeme der Gesellschaft, und Experten befürchten, dass die Fähigkeit zum führen eines Blackouts konnten in die Hände von unbekannten Akteuren.
Hacker Baute eine Waffe Auslösen, Blackouts, und Es Könnte Überall Arbeiten
Die scheinbar lokale cyberattack, dass die Stromzufuhr zu einem Teil der ukrainischen Hauptstadt Kiew, im vergangenen Dezember…
Lesen Sie mehr
Am Mittwoch, den Forscher bei Symantec einen Bericht veröffentlicht, der aufzeigt, breiten die Einzelheiten der Untersuchung in die Aktionen von einer Gruppe, die Sie anrufen “Dragonfly 2.0.” Symantec behauptet, Sie habe Beweise dafür, dass in über 20 Fällen die Hacker erlangten Zugriff auf die gezielte power-Netzwerke in Unternehmen. In einigen Fällen in den USA schafften Sie es, den sicheren Zugriff auf die Schnittstellen, die benutzt wird, um die power-grid-Ausrüstung. Als Sicherheitsexperte John hultquist oder Punkte aus, die Gruppe “hat nicht bewiesen, eine Fähigkeit zu manipulieren, die Systeme, die Sie nach sind,” aber es scheint, dass dies ist eine Aufklärungs-mission, die speziell zur Vorbereitung auf einen Angriff.
Symantec-Forschung verbindet diesen Angriff mit dem Dragonfly-Gruppe, berichtete über die im Jahr 2014 und wird geglaubt, um in Betrieb war, mindestens seit 2011. Wie in dem vorherigen Fall, die Gruppe scheint sich allmählich zu sammeln Intelligenz auf, wie diese Energie-Unternehmen, die Operationen und austesten, wie weit Sie in das system eindringen. Dragonfly 2.0 wird geglaubt, um Ihre Arbeit aufgenommen, um Dezember 2015, eine Intensivierung der Aktivitäten in den USA, der Schweiz und der Türkei in der ersten Jahreshälfte 2017. “Es gibt einen Unterschied zwischen einem Schritt Weg von der Durchführung von sabotage-und tatsächlich in einer position zur Durchführung von sabotage”, so Eric Chien, Symantec security analyst, sagt Wired. In diesem Fall Chein sagt, dass die Gruppe in der Lage war zu gewinnen, die strategische position.
Diese Hacker handeln auf einem hohen Niveau der Bedienung, aber Sie sind nicht das Rad neu erfinden. Erprobte und wahre spear-phishing und Wasserloch-Techniken wurden verwendet, um den trick Angestellten zur Preisgabe von Benutzernamen und Passwörter, gab den Zugriff auf eingeschränkte Teile der elektrischen Anlage. Ars Technica beschreibt einige der Hacker-Methoden:
Eine Taktik, die beteiligten über die öffentlich verfügbaren Phishery toolkit zu senden Ziele ein Microsoft Word-Dokument, das programmiert wurde, laden Sie eine Vorlage von einem vorbestimmten server, gesteuert durch den Angreifer. Der server würde dann die Abfrage der Download-computer für die SMB-Anmeldeinformationen, dass viele Unternehmens-Netzwerke verwenden, um den Zugriff auf verifizierte Nutzer. In vielen Fällen, die Download-Computer reagieren würde, und in den Prozess der Angreifer mit dem Benutzernamen und einem kryptografischen hash, um die gezielte Netzwerk. Forscher mit Cisco Systeme beschrieben, die so genannte Vorlage-injection-Angriff im Juli. Sobald Dragonfly verwendet das Kennwort, um gegen die corporate-Netzwerk, die Hacker würden dann durchqueren, um das betriebliche Netzwerk.
Einmal drinnen, war die Gruppe in der Lage zu installieren (backdoors), die ausgerichtet mit den Trojanern verwendet, die von der ersten Dragonfly Betrieb. Es war auch forensische Beweise dafür, dass in den erfolgreichsten Fällen die Angreifer waren in der Lage, um screenshots des control panels, die das senden von Befehlen an Leistungsschalter, regulieren den Fluss von Elektrizität. Symantec sagte, dass es noch geklappt hat mit den Unternehmen, die betroffen waren, um schädliche software zu entfernen, aber es wird wesentlich sein für die Mitarbeiter aktualisieren Ihre Anmeldeinformationen. Es hat auch davor gewarnt, über 100 Energie-Unternehmen über die Techniken, die verwendet wurden, und könnte potenziell kompromittierte Systeme.
Symantec ist nicht alles enthüllte er gelernt, über die Angreifer oder die Namen Ihrer Ziele. Er stellt außerdem fest, dass gemeinsame Werkzeuge wurden verwendet und auf bekannte Schwachstellen ausgenutzt wurden. Der link zu der ersten Runde der Libelle Angriffe beruht vor allem auf zwei Stücke von malware, die sowohl Angriffe teilen, die Methoden der intrusion, und die Wahl der Energie-Unternehmen als Ziele. Andere Aliase wurden gebunden, die zu dieser Gruppe gehören Energetische Tragen, Crouching Yeti, und Koala. Die US-Regierung angeschlossen, die Dragonfly-Angriffe auf die russische Regierung im Dezember cybersecurity-Bericht über Wahl-Verwandte hacken. Aber Symantec macht keine Ansprüche über das Land der Herkunft und schreibt, dass die Russischen und französischen Sprachen wurden verwendet, von denen eine oder beide falsch sein könnte flags.
Die Tatsache, dass diese Vorgänge zu sein scheinen, konzentrierte sich auf das sammeln von Intelligenz nicht geben ein starkes signal, dass eine Regierung, die Schauspieler verantwortlich sein könnte. “Was Sie plant zu tun mit all dieser Intelligenz noch nicht klar geworden, aber seine Fähigkeiten machen, verlängern sich erheblich stören gezielte Unternehmen sollten Sie wählen, dies zu tun,” Symantec schrieb in seinem Bericht. “Klar ist, dass Libelle ist ein sehr erfahrener bedrohlich Schauspieler, der fähig ist, Kompromisse bei zahlreichen Organisationen, dem Diebstahl von Informationen und der Zugriff auf wichtige Systeme.”
Zwei Faktoren sollte lindern einige der sorgen. Einer ist, dass unsere nation die dezentrale Stromnetz würde wahrscheinlich in der Lage sein, um eine Wiederherstellung nach einem Angriff ziemlich schnell. Eine 2016 hack auf das Stromnetz in Kiew nahm nur das system nach unten für eine Stunde. Die zweite gute Neuigkeit ist, dass die Hacker brauchen würde, um bereitstellen, ein Stück custom-malware wie der “Crash Override” – code, der verwendet wurde, um sabotage-Systemen in Kiew. Symantec ist nicht die Berichterstattung, die jede Art von tools, die tatsächlich die Kontrolle über das system identifiziert wurden. Es scheint, dass in diesem Fall, die Gruppe ist immer noch das sammeln der intel, die es braucht. Robert M. Lee, Gründer der Sicherheits-Firma Dragos darauf hingewiesen, auf Twitter, die Informationen sammeln, zitiert in der Symantec-Bericht ist “genau das, was Sie wollen, um zu sammeln (und engineering-Dokumenten, die Symantec hat gesagt gestohlen wurden) zu entwerfen Angriffe.”
In der Zwischenzeit hat Symantec beschriebenen defensiven Schritte für Elektro-Unternehmen und der US-cyber-Operationen benötigen, um diese Entwicklungen zu berücksichtigen. Wer auch immer diese Gruppe ist, dass Sie gute Fortschritte machen, in Ihrer mission, und Sie scheinen ziemlich geduldig.
[Symantec, LAN, Ars Technica]