五大黑客组织已经瞄准工控系统

E安全3月5日讯 工业网络安全厂商 Dragos 公司2018年3月1日发布报告表示，目前至少有五个高水平威胁集团的恶意活动主要集中在工业控制系统（简称ICS）身上。

五个黑客组织的详细介绍及比较

虽然非针对性恶意软件入侵工业系统的状况并不罕见，但目前此类针对性攻击同样正变得愈发普遍。Dragos 公司目前正在持续追踪五个威胁组织，其皆曾经直接攻击工业控制系统或者对收集此类信息的相关信息表现出兴趣。

Electrum

该公司追踪的恶意组织之一是 Electrum，该组织最知名的“壮举”，当数2016年12月利用 CRASh OVERRIDE/Industroyer恶意软件导致乌克兰大规模停电。Electrum 与 Sandworm Team 可能存在关联，其中后者被广泛认定为造成乌克兰2015年停电事故的幕后操纵者。而俄罗斯政府则被指控为与这两轮攻击事件有关。

尽管自2016年针对乌克兰电力设施的攻击以来，Electrum 再没有发动任何大规模攻击，但 Dragos 公司表示其仍然继续保持活跃，且有证据表明其进一步扩大了打击目标范围。Dragos 公司在其报告中指出，“尽管 Electrum 以往的恶意活动主要针对乌克兰，但从其它小范围恶意事件信息以及该集团同 SANDWORM 间的关联来看，我们认为 Electrum 很可能在支持者的授意下被‘另委重任’。”

Covellite

Dragos 公司关注的另一个恶意组织为 Covellite ，其与朝鲜旗下恶名昭著的 Lazarus 集团有关。Dragos 公司的研究人员们自2017的9月起开始观察 Covellite，当时其正针对美国各电网公司发动具有高度针对性的网络钓鱼攻击。研究人员们随后发现，该集团亦可能对欧洲、北美以及东亚地区的多个组织机构发动了攻击。

与 Electrum 不同，Covellite 截至目前仍未使用过任何专门针对工业系统的恶意软件。

Dymalloy

Dragos 公司的报告还总结了 Dymalloy 集团的活动。Dymalloy 集团在对 Dragonfly 行动的调查中渐渐浮出水面，亦被称为 Crouching Yeti 以及 Energetic Bear。所谓 Dragonfly 行动，很可能是俄罗斯在境外利用高复杂度恶意软件 Havex 实施的一系列攻击举措——近期，美国已经有多家能源厂商发现其控制系统遭遇 Dragonfly 行动的侵扰。

Dragos 公司认为，Dymalloy 与 Dragonfly 并无关联（至少没有直接关联），因为前者使用的工具并不像 Havex 那样先进。然而，Dymalloy 黑客们确实设法入侵了位于土耳其、欧洲以及北美的多家工业控制系统厂商，并获得了对 HMI （即人机接口）设备的访问权限。Dymalloy 自2017年以来在活跃度方面似乎有所降低，这可能是为了回避媒体以及安全研究人员对其给予的高度关注。

Chrysene

自2017年年中以来，Dragos 公司还一直在持续追踪 Chrysene 集团。该集团的主要业务集中在北美、西欧、以色列以及伊拉克，且特别关注电力、石油与天然气等行业机构。

Chrysene 目前继续保持活跃，且曾经使用伊朗网络间谍团体 OilRig 与 Greenbug 相关恶意框架的一种变种。

Dragos 公司指出，“尽管 Chrysene 的恶意软件与其它威胁组织所使用的类似工具相比，在功能性方面得到了显著增强，但我们尚未观察到该恶意集团使用其中专门针对工业控制系统的功能。而且其截至目前的所有活动似乎都集中在对工业控制系统相关组织实施 IT 渗透与间谍活动身上。”

值得注意的是，最近发现的一种被称为 Trisis/Triton 的恶意软件属于专门用于破坏安全仪表系统（简称SIS）的首种威胁工具，且部分研究人员认为其与伊朗方面存在关联。

Magnallium

引发 Dragos 公司关注的最后一个以工业控制系统为主要目标的威胁组织为Magnallium，其同样与伊朗有所联系。自 FireEye 公司以 APT33 为代码对其恶意活动发布报告后，Dragos 方面就开始追踪这一恶意集团。

尽管部分媒体在报道中认为 APT33 的主要打击目标集中在工业控制系统以及关键基础设施层面，但 Dragos 公司的调查结果显示，该组织似乎并不具备任何针对工业控制系统的攻击能力。

Dragos 公司表示，尽管这些恶意集团当中，只有一个能够通过专门针对工业控制系统的恶意软件影响其网络运营，但全部五个集团都至少参与到与工业控制系统环境相关的侦察与情报收集活动当中。这些集团在2017年中的整体活动中相对保持稳定，可能是一些已经发生的安全事件尚未被察觉。