天创培训:您身边的信息安全培训专家!
行业动态
深度揭秘:美国电网存“后门” ,俄罗斯黑客随意进出

[摘要]黑客们不是正面攻击公用事业公司,而是攻击该系统不受保护的弱点——数以百计的承包商和分包商,他们没有理由对外国特工保持高度警惕。

深度揭秘:美国电网存“后门” ,俄罗斯黑客随意进出

腾讯科技讯 据国外媒体报道,2017年3月的一天早上,迈克·维泰罗(Mike Vitello)的工作电话响了。客户想了解他们刚刚收到的一封奇怪电子邮件的更多信息。维泰罗想签的协议是什么?附件在哪里?

维泰洛先生不知道他们在说什么。他工作的俄勒冈州建筑公司“全方位挖掘美国公司”( All-Ways Excavating US)进行了检查。他们告诉维特洛的联系人,这封电子邮件是伪造的,别理它。

几个月后,美国国土安全部(U.S.Department of Homeland Security)派出了一个小组检查该公司的电脑。一名政府特工告诉维泰洛先生的同事道恩·考克斯,你们被攻击了,也许是俄罗斯人干的,他们试图攻击电网。

“他们截获了我的每一封电子邮件,”维泰洛说。“见鬼!我只是一个无名小卒。”

“不是你的问题,这是你认识的人(干的),”考克斯女士说。

这家位于俄勒冈州塞勒姆(Salem)附近、与公用事业公司和政府机构合作的15人公司遭到了网络攻击,这是外国对美国电网发动的已知最严重黑客攻击中的一次早期攻击。这引发了如此多的警报,以至于美国官员在2018年初采取了不寻常的步骤,公开指责俄罗斯。

这次黑客攻击过程的重建揭示了美国电力系统核心的一个明显的脆弱性。黑客们不是正面攻击公用事业公司,而是攻击该系统不受保护的弱点——数以百计的承包商和分包商,就像上述的全方位挖掘美国公司,他们没有理由对外国特工保持高度警惕。

在这些小小的立足点上,黑客们沿着供应链往上爬。一些专家认为,20多家公用事业公司最终被黑客攻破。

该计划的成功与其说是因为它的技术能力——尽管攻击者确实使用了一些聪明的策略——不如说是因为它借助于模仿和欺骗来利用了可信任的业务关系。

黑客在公用事业工程师经常阅读的在线出版物的网站上植入恶意软件。他们寄出了带有恶意软件附件的假简历,假装是求职者。一旦他们有了计算机网络账号密码,他们就会潜入公用事业技术人员使用的隐藏门户系统,在某些情况下进入监测和控制电流的计算机系统。

美国媒体通过文件、电脑记录和对受影响公司的人员、现任和前任政府官员以及安全行业调查人员的采访,复原出了这次黑客攻击是如何发生的。

美国政府还没有点名指出受到俄罗斯黑客攻击的公用事业机构或其他公司名单。

美国媒体指出指出了一些小企业,如华盛顿州里奇菲尔德的商业承包商公司(Business Contractors Inc.),俄勒冈州泰格尔市的卡尔森测试公司(Carlson Testing Inc.),以及联邦政府旗下的邦纳维尔电力管理局(Bonneville Power Administration)和巴菲特掌管的伯克希尔哈撒韦公司旗下的太平洋公司。其中两家被攻击的能源公司生产向陆军基地提供紧急电力的系统。

俄罗斯的行动引发了美国联邦调查局和国土安全部的联合行动,他们开始追溯袭击者的行动步骤,并通知可能的受害者。一些公司在政府调查人员打电话来之前并不知道自己受到了攻击,而另一些公司在美国媒体联系之前不知道自己已成为俄罗斯攻击目标。

前国土安全部网络政策助理部长、现为PaulHastings LLP律师事务所合伙人的罗伯特·P·西尔弗斯(Robert P.Silvers)表示:“俄罗斯所做的是在不扣动扳机的情况下,为战场做好准备。”

俄罗斯驻华盛顿大使馆新闻办公室没有回应记者的多次置评请求。俄罗斯此前否认对美国关键基础设施采取行动。

早期受害者

美国国土安全部网络安全和通信项目助理部长珍妮特·曼夫拉(Jeanette Manfra)说,2016年夏天,美国情报官员发现了黑客攻击美国公用事业的迹象。这些工具和战术表明攻击者是俄罗斯人。曼夫拉说,情报机构通知了国土安全部。

2016年12月,一名联邦调查局(FBI)特工出现在伊利诺伊州唐斯格罗夫(Dowers Grove)的一个办公室,距离芝加哥以西不到一小时的路程。它是CFE传媒公司的总部,这是一家私营的小公司,出版《控制工程》和《咨询指定工程师》等行业杂志。

根据CFE的一封电子邮件,这名特工告诉员工,“高度老练人士”已经将一个恶意文件上传到“控制工程”的网站上。这名特工警告说,它可能被用来对他人发动敌对行动。

CFE传媒公司的联合创始人史蒂夫·鲁尔克(Steve Rourke)说,他的公司采取了措施修复受影响的网站。不过,据埃森哲(Accenture)旗下部门和旧金山网络安全公司RiskIQ的安全研究人员称,不久之后,攻击者就向CFE媒体公司的其他网站上传了恶意程序。

就像狮子在水坑里追逐猎物一样,黑客跟踪这些和其他行业网站的访问者,希望抓住工程师和其他人,并渗透到他们工作的公司。RiskIQ研究人员Yonathan Klijnsma说,俄罗斯有可能扳倒“行业中的任何人”。

根据政府对攻击的简报和审查恶意代码的安全专家的说法,攻击者在网站上植入几行代码,就无形中从毫无戒心的访问者那里窃取了计算机用户名和密码。去年,国土安全官员在行业简报中表示,这一策略使俄罗斯人能够接触到美国越来越敏感的系统。

全方位挖掘美国公司的维泰洛不知道黑客是如何进入他的电子邮件账户的。他不记得访问过CFE的网站,也不记得点击受攻击的电子邮件附件。尽管如此,据研究这起黑客事件的安全公司称,此次攻击是俄罗斯行动的一部分。

2017年3月2日,攻击者利用维泰洛的账户向客户发送了大量电子邮件,目的是将收件人聚集到一个被黑客秘密接管的网站。

这封电子邮件通知收件人会下载到一份文件,但后来什么也没有发生。收件人被邀请点击一个链接,说他们可以“直接下载文件”。他们设置了圈套,将收件人带到了一个名叫Imageliners.com的网站上。

该网站当时由南卡罗来纳州哥伦比亚(Columbia,S.C.)的网络开发人员马特·哈德森(Matt Hudson)注册,最初的目的是让人们找到做广播配音的工作,但当时处于休眠状态。哈德森说,他不知道俄罗斯人霸占了他的网站。

邮件发出的当天——就在维泰洛办公室的电话在俄勒冈州响起的同一天——上述网站上的访问活动激增,来自300多个IP地址的电脑进行了访问,而上个月一天只有几台。许多人是黑客的潜在攻击目标。

美国媒体的一项分析发现,大约90个IP地址(帮助计算机在互联网上找到彼此的代码)是在俄勒冈州注册的。

目前尚不清楚受害者登陆被黑客控制的网站时看到了什么。相关服务器上的文件表明,这些文件可能会被显示为Dropbox的伪造登录页面(Dropbox是一种基于云的存储服务,允许人们共享文档和照片),目的是诱使他们交出用户名和密码。也有可能是黑客利用这个网站打开了进入访客系统的后门,让他们控制受害者的电脑。

当维泰洛意识到他的电子邮件被劫持后,他试图警告他的联系人不要打开他的任何电子邮件附件。黑客封锁了这条消息。

全方位挖掘美国公司是一家政府承包商,并与包括美国陆军工程兵部队在内的机构竞标,该公司经营着数十个联邦政府所有的水电设施。

大约两周后,袭击者再次利用维泰洛的账户发送了大量电子邮件。

其中一个发送给了俄勒冈州林肯市的丹考夫曼挖掘公司,主题是:“请DocuSign签署协议-资助项目。”

办公室经理科琳娜·索耶(Corinna Sawyer)觉得措辞很奇怪,于是发电子邮件给维泰洛:“我刚收到你的邮件,我想你已经被黑了。”

控制维泰罗账户的入侵者回应道:“是我发的。”

索耶仍心存疑虑,给维特洛打了电话。维特洛告诉她,这封电子邮件和之前那封一样,都是假的。

袭击蔓延。

其中一家收到虚假电子邮件的公司是位于俄勒冈州科瓦利斯的一家小型专业服务公司。据该公司老板称,那年7月,联邦调查局(FBI)特工出现在公司,告诉员工他们的系统在一场针对能源公司的“广泛攻击行动”中遭到破坏。

3月2日,在收到维泰洛的第一封伪造电子邮件后,美国国土安全部的一份调查报告称,科瓦利斯这家公司的一名员工点击了通往被黑客控制的语音网站的链接,系统提示她输入用户名和密码。

据美国媒体报道,当天结束时,这些网络黑客就在她公司的网络中。

然后,黑客破解了该公司防火墙中的一个门户(防火墙的作用是将敏感的内部网络与互联网分隔开来),并创建了一个新的帐户,具有广泛的管理访问权限,黑客的行动相当隐蔽。

“我们既不知道被攻击,也没有抓住攻击者。”该公司的老板说。

2017年6月,黑客使用上述科瓦利斯公司的系统进行狩猎。在接下来的一个月里,他们几十次使用土耳其、法国和荷兰等国注册的IP地址和计算机上访问了俄勒冈公司的网络,攻击目标中至少包括6家能源公司。

在某些情况下,攻击者只是简单地研究新目标的网站,可能是为了未来的袭击做准备。调查报告指出,在其他情况下,他们可能在受害者的系统中站稳脚跟。

据悉,其中两个目标公司帮助军队在国内基地提供独立的电力供应系统。

6月15日,俄罗斯黑客访问了ReEnergy控股公司的网站。这家可再生能源公司建造了一座小型发电厂,即使民用电网崩溃,发电厂也能让纽约州西部的德拉姆堡(FortDrum)军事基地运转。德拉姆堡驻扎着美国陆军部署最频繁的师之一,正在考虑成为一个36亿美元的导弹拦截系统的所在地,以让美国东海岸避免受到洲际弹道导弹的袭击。

一位知情人士表示,私募股权投资公司Riverstone控制的ReEnergy遭到入侵,但其发电设施没有受到影响。一位发言人说,军方知道这一事件,但拒绝提供更多细节。

同一天,黑客开始攻击大西洋电力公司的网站,该公司是一家独立的发电企业,向加拿大八个州和两个省的十几家公用事业公司出售电力。报告称,除了从该网站下载文件外,攻击者还访问了该公司的虚拟专用网络登录页面,即VPN,这是该公司计算机系统的网关,供远程工作的人员使用。

大西洋电力公司在一份书面声明中说,它经常遇到网络恶意行为,但没有对具体细节发表评论。“据我们所知,黑客从来没有成功地破坏公司的任何系统,”该公司说。

6月28日午夜左右,黑客利用科瓦利斯公司的网络与密歇根州一家名为DeVange建筑公司(拥有20名员工)交换电子邮件。这些邮件似乎来自一位名叫里克·哈里斯(RickHarris)的员工——这是攻击者伪造的一个角色。

DeVange建筑公司的电脑系统可能已经被攻破。根据安全专家和美国媒体审查的电子邮件,寻求工业控制系统工作的人士(其实根本不存在)向能源公司提出的申请来自DeVange电子邮件地址,电子邮件还附上了伪造的简历,以诱骗收件人的计算机向被黑客攻击的服务器发送登录信息。

美国媒体指出,至少有三家公用事业公司收到了这些电子邮件:总部位于华盛顿的富兰克林·PUD公司(Franklin PUD)、威斯康星州的戴兰电力合作公司(Dairland Power Co.)和纽约州电力天然气公司(New York State Electric??GasCorp.)。这三家公司都表示,他们知道相关黑客活动,但不认为自己是黑客活动的受害者。

DeVange建筑公司的一名员工说,联邦探员访问了这家公司。该公司的所有者吉姆·贝尔(Jim Bell)拒绝谈论这一事件。

当年6月30日,黑客试图远程访问印第安纳州的一家公司,该公司与ReEnergy一样,在民用电网断电时利用备份设备让政府设施继续运行。不过,印第安纳州这家公司拒绝透露该公司是否遭到黑客攻击,但表示该公司非常注重网络安全。

该公司的网站上说,它的客户之一是德特里克堡军事基地,这是在美国马里兰州的一个陆军基地,该基地有一个复杂的实验室,基地的使命是保卫国家的生物武器。德特里克堡军方官员表示,他们认真对待网络安全问题,但拒绝进一步置评。

随着2017年夏季过去,攻击者将目标对准了帮助公用事业公司管理其计算机控制系统的公司。7月1日,袭击者利用科瓦利斯公司袭击了两家英国公司,即Severn控制有限公司和奥克兰控制系统公司。接着,他们攻击了西姆基斯控制系统有限公司(Simkis Control SystemsLtd.),该公司也位于英国,根据政府报告,攻击者访问了帐户和控制系统的信息。

西姆基斯的网站表示,该公司销售的工具允许技术人员远程访问工业控制网络。该公司的客户包括大型电气设备制造商和公用事业公司,包括在英国和美国部分地区运营输电线路的全国性电网,该公司在纽约、罗德岛和马萨诸塞州拥有公用事业公司。

到了2017年秋天,黑客们回到了在俄勒冈州的丹考夫曼挖掘公司,他们在9月18日侵入了该公司的网络。

据该公司称,黑客似乎悄悄地潜伏了一个月。随后,在10月18日晚,该公司大约2300名联系人收到了大量电子邮件。电子邮件称“嗨,Dan用Dropbox和你共享一个文件夹!”,邮件包含一个链接,上面写着“查看文件夹”。

这封电子邮件的收件人包括:跨州公用事业公司太平洋公司的员工、位于俄勒冈州波特兰的博纳维尔电力管理局(Bonneville Power Administration)和陆军工程兵部队(ArmyCorpsofEngineers),后者管理着西北太平洋75%的高压输电线路。

联邦官员说,攻击者想办法弥合公用事业的企业网络(连接到互联网)和关键控制网络(出于安全目的与网络隔离)之间的鸿沟。

这些“桥梁”有时以“跳箱”的形式出现,所谓跳箱是一种让技术人员在两个系统之间移动的计算机。如果没有很好的防御,这些交界处可以让网络特工在护城河下面挖隧道。

在去年夏天给公用事业公司的简报中,国土安全部工业控制系统网络安全主管乔纳森·荷马(Jonathan Hmer)表示,俄罗斯人通过保护不力的跳箱渗透到公用事业的控制系统领域。他在一次简报中说,袭击者拥有“与技术人员一样的合法权限”,并有能力采取暂时切断电力等行动。

太平洋公司表示,它采取了多层次的风险管理方法,没有受到任何攻击活动的影响。

博纳维尔电力管理局的的首席信息安全官加里·多德(Gary Dodd)说,他不认为自己所在的公用事业设施被破坏了,尽管它似乎收到了来自全方位挖掘美国公司和丹考夫曼公司的可疑电子邮件。“有可能有什么东西进来了,但我真的不这么认为,”他说。

美国陆军工程兵部队表示,它不会对网络安全问题发表评论。

对外公开

美国政府在2017年10月的一份咨询意见中警告公众注意黑客活动。美国政府认为黑客攻击和神秘组织有关系,该组织有时被称为蜻蜓或“活力熊”,安全研究人员认为这些黑客组织和俄罗斯政府有关系。

2018年3月,美国更进一步,发布了一份报告,将敌对活动的责任归咎于为俄罗斯政府工作的“网络行为者”,称他们自2016年3月以来一直十分活跃。一般而言,各国政府通常不会透露参与网络攻击的国家的名字,也不会泄露他们所知道的信息。

2018年4月,美国联邦调查局致函至少两家公司,称它们似乎收到了来自全方位挖掘美国公司的维泰洛的恶意电子邮件。

其中之一是华盛顿州里奇菲尔德的商业承包商公司,该承包商帮助博纳维尔电力管理局翻修了一间办公室。该公司总裁埃里克·钱恩(Eric Money)表示,员工们认为他们挡住了被攻击或污染的电子邮件。但美国媒体发现,在袭击发生的当天,一台该公司IP地址的电脑访问了被黑客控制的网站。

联邦调查局通知的另一家公司——俄勒冈州蒂卡尔的卡尔森测试公司已经为包括波特兰通用电气公司、太平洋公司、西北天然气公司和博纳维尔电力管理局在内的公用事业公司开展工作。

总部位于加州的网络安全公司赛门铁克公司(Symantec Corp.)的安全响应技术总监维克拉姆·塔库尔(Vikram Thakur)说,他的公司从其公用事业客户和与其合作的其他安全公司那里得知,至少有60家公用事业公司成为攻击目标,包括一些美国以外的公用事业公司。他说,大约有20多家公司被最终攻破。

他补充说,黑客的渗透深度足以达到八家或更多的公用事业公司的工业控制系统。他拒绝透露他们的名字。

美国政府不确定有多少公用事业公司和供应商在俄罗斯的袭击中受到损害。

俄勒冈州比弗顿的Vak建筑工程服务公司(Vak Construction Engineering Services)总裁韦洛·科伊夫(Vello Koiv)说,他公司的某个人从一封被污染的电子邮件中上钩,但公司的计算机技术人员发现了这个问题,因此“这并不是一个全面的事件”。该公司为陆军部队、太平洋公司、邦纳维尔和华盛顿州斯波坎的公用事业公司Avista Corp分包合同。Avista公司则表示,它不对网络攻击发表评论。

科伊夫说,他在2018年继续收到被黑客攻击的电子邮件。“不管他们是不是俄罗斯人,我都不知道。但仍有人试图渗透到我们的服务器中。”

去年秋天,全方位挖掘美国公司再次遭到黑客攻击。

业内专家表示,俄罗斯黑客可能仍在一些系统内潜伏,未被发现,这些黑客等待进一步的命令。(腾讯科技审校/承曦)