这是美国首次指控俄罗斯政府机构及相关人员参与针对美国的关键基础设施攻击。
近日,美国司法部(DoJ)指控三名俄罗斯FSB官员和一名俄罗斯联邦中央化学与力学科学研究所(TsNIIKhM)的程序员,指控他们参与了针对美国和全球炼油厂、核设施和能源公司的工业控制系统(ICS)进行攻击。
一名被告(程序员)被指控针对能源基础设施部署臭名昭著的Triton(又称Trisis)恶意软件,所实施的攻击包括2017对沙特阿拉伯的一家石化厂的攻击,以及在2018年2月至2018年7月期间实施的多起未成功的攻击,目标是美国关键基础设施公司。根据DoJ的起诉书,该恶意软件旨在感染施耐德电气Triconex部门制造的安全仪表系统(SIS)控制器。
另外三人(FSB官员)被起诉部署Havex远程访问木马,其中包括一个用于可在网络上扫描监控和数据采集(SCADA)的模块。该恶意软件被用于攻击能源组织,包括石油和天然气公司、核电站和输电公司。
虽然此前很多国外安全研究人员将这些威胁归因于俄罗斯国家支持的黑客组织,但这是美国政府首次直接指控俄罗斯政府机构或相关个人。
对Triton的起诉
美国指控在俄罗斯中央化学与力学科学研究所(TsNIIKhM)工作的36岁程序员Evgeny Viktorovich Gladkikh,声称他参与了对包括美国在内的世界各地炼油厂的攻击活动。这些攻击中至少有一次成功部署了Triton恶意软件。
起诉书声称Triton是TsNIIKhM开发的,而TsNIIKhM是俄罗斯历史最悠久的国家研究中心之一,隶属于该国国防部,专门制造用于太空战和网络战的新型先进武器。
虽然起诉书没有提到被Triton恶意软件成功攻击的国家或公司的具体名称,但安全研究人员认为起诉书中所指的“1号受害者”是沙特阿拉伯石化公司Petro Rabigh。2017年Triton恶意软件在被部署在Petro Rabigh炼油厂的Triconex SIS控制器上后出现故障,触发了两次安全关闭事件。
起诉书指出:Gladkikh直接参与了这次攻击,在受害组织网络内的机器上植入后门。Gladkikh熟悉受害组织的安全日志、过往安全演习的结果、响应计划、日志服务器上使用的软件版本以及确切的模型和Triconex SIS设备的功能。他还直接负责在受害组织的SIS设备上部署Triton恶意软件,这些设备连接到被他设置了后门的计算机。被部署Triton的设备是受害组织的分布式控制系统(DCS)的一部分,其中一台控制硫回收和燃烧器管理的敏感物理流程,这些系统操作不当可能会导致有毒气体的释放或爆炸。
检察官认为,Gladkikh及其同谋的目标是使用Triton恶意软件改变安全操作参数,从而在炼油厂造成物理损坏或灾难性故障。不过,由于恶意软件配置无意中触发了SIS设备中的故障,从而触发了其安全关闭协议,导致攻击失败,Triton恶意软件也被发现。
根据起诉书,Gladkikh对炼油厂的攻击并没有因这次攻击失败而停止。Gladkikh随后在美国国防部的一个网站上发现了一篇1970年代的研究论文,其中包括对美国炼油厂及其物理脆弱性的广泛调查,包括可能发生的爆炸和火灾的影响。这篇论文帮助Gladkikh及其同谋锁定了目前由一家美国公司运营的两家炼油厂,然后尝试通过SQL注入和漏洞扫描访问该公司运行的公共服务器,但这些尝试都没有成功。
Gladkikh被控一项共谋破坏能源设施罪和一项企图破坏能源设施罪,两项罪名均最高可判处20年监禁;以及一项共谋计算机欺诈罪,最高可判处五年监禁。
对Havex的起诉
在另一份起诉书中,美国司法部指控俄罗斯内部安全部门FSB的三名军官Pavel Aleksandrovich Akulov、Mikhail Mikhailovich Gavrilov和Marat Valeryevich Tyukov,指控三人犯有计算机欺诈和滥用、电汇欺诈、多重身份盗窃并对能源设施的财产造成损害。这些指控与2012年至2017年间针对多个组织使用Havex恶意软件有关。
Havex恶意软件是一种远程访问特洛伊木马,安全行业过去将其归因于俄罗斯国家支持的APT组织,该组织被跟踪的代号为Dragonfly、Berzerk Bear或Energetic Bear。在2012年至2014年期间,攻击者使用软件供应链以及其他攻击媒介来分发Havex。
Dragonfly设法破坏了ICS和SCADA软件公司的服务器,并对他们的软件更新进行了木马化。例如,为ICS系统远程维护服务公司eWON开发的MESA成像驱动程序——一个名为eCatcherSetup的组件;以及工业系统VPN服务和网络路由器厂商MB Connect的多种工具。
Dragonfly组织还使用了许多其他攻击媒介和技术,包括水坑攻击(入侵其目标部门员工经常访问的网站以投放凭据盗窃恶意软件)、从受感染能源组织内部创建的虚假地址发送的鱼叉式网络钓鱼电子邮件或利用公开暴露的服务器漏洞等。
Havex恶意软件本身并非被设计用于破坏ICS控制器,但它包含一个模块,允许攻击者扫描被入侵的网络以查找SCADA应用程序。后者通常是在Windows工作站上运行的管理应用程序,用于监视和控制工业过程。这表明攻击者对获得对此类工作站的控制权有着明显的兴趣。
检察官称,Dragonfly组织在其多年的运营中用Havex感染了17000多个系统,包括电力和能源公司使用的ICS/SCADA控制器。该组织的鱼叉式网络钓鱼攻击针对美国和全球500多个组织的3300多名用户,其中包括美国核管理委员会。
起诉书公布后,CISA和美国能源部发布了一份详细的咨询报告,其中包含有关Triton和Dragonfly攻击的更多技术细节(链接在文末)。该咨询还给出了关键基础设施运营商的安全最佳实践和建议。
参考资料:
https://www.justice.gov/opa/press-release/file/1486836/download
https://www.cisa.gov/uscert/ncas/alerts/aa22-083a
