原标题:美国电网存在脆弱“后门”,俄罗斯黑客被美媒指能随意进出
[编译/观察者网 王恺雯]
美国的电网系统中竟存在一扇“后门”,让俄罗斯黑客能乘机对美国发动攻击?
《华尔街日报》1月10日的文章指出,俄罗斯黑客频繁攻击美国电网系统,很多人并不是正面入侵公用事业公司,而是把目标对准了防护措施更薄弱的电网承包商们。
通过这些小的立足点,黑客们沿着供应链往上爬。报道称,俄罗斯黑客试图渗透美国至少24个州、乃至加拿大和英国的电网,数百家小型承包商受到袭击,其中不乏为美军提供紧急电力系统的企业。
报道截图(下同)
《华尔街日报》通过对文件、电脑记录、相关公司职工、政府官员等调查采访,详细描述了一场影响广泛的黑客攻击事件。该事件后来甚至引发了美国联邦调查局和国土安全部的联合行动,美国政府也在2018年初点名指责俄罗斯试图入侵其电网。
美国国土安全部网络安全和通信项目助理秘书珍妮特·曼弗拉(Jeanette Manfra)称,早在2016年夏天,美国情报官员就发现了黑客袭击美国公用事业的迹象,“其所用的工具和方式表明攻击者是俄罗斯人”。
2016年12月,一名联邦调查局特工出现在伊利诺伊州唐纳斯格罗夫的一个办公室。这里是CFE传媒公司的总部,这是一家私营的小公司,出版《控制工程》和《咨询指定工程师》等行业杂志。
根据CFE的一封电子邮件,特工告诉员工,已经有“老手”将一个恶意文件上传到“控制工程”的网站上。特工还警告称,它可能被用来对他人发动攻击。
虽然CFE联合创始人史蒂夫·罗克(Steve Rourke)说自己的公司已经采取措施修复受感染网站,但管理咨询公司埃森哲(Accenture)和网络安全公司RiskIQ表示,不久后黑客就用恶意程序攻击了这家公司的出版物。
“就像狮子在一个水坑里追捕猎物一样,黑客们跟踪这些或其他贸易网站的访问者,希望捕获工程师这类人,并渗透到他们工作的公司,”RiskIQ研究员Yonathan Klijnsma表示,俄罗斯人可能会毁掉“业内任何人”。
根据美国政府关于攻击的简报和审查恶意代码的安全专家的说法,攻击者可以通过在网站上植入几行代码,从毫无戒心的访问者那里获取计算机的用户名和密码。国土安全官员表示,这种策略使俄罗斯人能够接触到美国更加敏感的系统。
通过对CFE的攻击,黑客在2017年3月2日成功进入全面发掘美国(All-Ways Excavating USA)公司员工麦克·维泰洛(Mike Vitello)的电子邮件账户,并向其客户发送大量钓鱼邮件。但维泰洛不记得曾访问过CFE的网站。
这封电子邮件会告诉收件人点击链接下载一份文件,链接指向一个名为imageliners.com的网站,该网站原先是让人们寻找广播配音工作,但当时并没有运作,其开发者也不知道黑客已经侵入了他的网站。
当天,该网站的访问量急剧上升,报道称,目前尚不清楚黑客通过网站获取到受害者哪些信息,但相关服务器上的文件表明,受害者可能会看见一个伪造的“Dropbox”(一种文件共享应用程序)登录页面,诱使人们交出用户名和密码。黑客也可能利用网站控制受害者电脑。
2017年3月2日,访问imageliners.com的人数明显上升
当维泰洛意识到他的电子邮件被劫持后,他马上试图警告他的联系人不要打开他发送的任何电子邮件附件,但黑客封锁了这条消息。
全面发掘美国公司是一家政府承包商,与包括美国陆军工兵部队(U.S。 Army Corps of Engineers)在内的机构竞标,该公司经营着数十个联邦政府所有的水力发电设施。
一家位于俄勒冈州科瓦利斯的小型专业服务公司在此次黑客袭击中中招,2017年6月,黑客利用其公司系统又攻击了至少6家能源公司,其中两家公司帮助美军在国内基地提供独立的电力供应系统。
报道指出,在某些情况下,攻击者只是简单地研究新目标的网站,可能是为了未来的袭击做准备。
2017年6月15日,黑客攻击了越能控股有限公司(Reenergy Holdings LLC)的网站,这家可再生能源公司建立了一个小型发电厂,即使民用电网崩溃,也能让纽约西部的德拉姆堡(Fort Drum)保持供电。德拉姆堡是美国某陆军基地所在地,目前正考虑建设一个价值36亿美元的导弹拦截系统。
一名知情人士说,虽然该公司受到入侵,但其发电设施未受影响,美国军方已经注意到该事件。
同一天,黑客攻击了大西洋电力公司(Atlantic Power Corp)的网站,该公司是一家独立的电力供应商,向全美8个州及加拿大的某些省份的公用事业公司提供电力。该公司在一份书面声明中指出,其经常遇到恶意攻击,但表示“据我们所知,从未有人成功破坏公司的任何系统。”
黑客入侵过程
2017年7月,黑客通过科瓦利斯公司攻击了三家英国公司。当年秋天,黑客重回此前已遭到入侵的俄亥俄州丹·考夫曼挖掘公司(Dan Kauffman Excavating),用相同手段向该公司大约2300名联系人发送邮件。收件人包括位于俄勒冈州的博纳维尔电力管理局(Bonneville Power Administration)以及美国陆军工兵部队,前者管理着太平洋西北部75%的高压输电线路。
报道指出,美国政府发现此类攻击后,在2017年10月的一份咨询意见中警告公众注意黑客活动,并将其归咎于某隐蔽组织,被称为“蜻蜓(Dragonfly)”或“能量熊(Energetic Bear)”,安全研究人员认为这些黑客组织和俄罗斯政府有关系。
2018年3月,美国土安全部和联邦调查局进一步在报告中指出,从2016年3月开始或者更早,俄罗斯政府黑客就试图攻击美国电力、核能、商业设施、航空、制造业等多个关键基础设施。
报道还称,2018年,美国一些企业仍持续不断收到黑客发出的电子邮件,前文提到的全面发掘美国公司也再度遭到黑客攻击。而美国政府不确定有多少公用事业公司和供应商在俄罗斯的袭击中受到损害。
俄罗斯驻华盛顿大使馆的新闻办公室没有回复《华尔街日报》的置评请求,但俄罗斯此前否认对美国关键基础设施采取行动。
责任编辑:王亚南