- A+
美国网络安全公司赛门铁克今天发布了针对一群民族国家黑客的警告,这些黑客已经设法渗透到美国和欧洲的几家能源公司,如果他们愿意,现在处于破坏关键基础设施的危险境地。
这些攻击背后的团体是网络安全社区的着名敌人,主要以蜻蜓的名义而闻名,但也被称为Energetic Bear,Crouching Yeti和Iron Liberty。
Dragonfly自2010年以来一直活跃,但在2014年赛门铁克发布了一项关于其活动的展览时,它一直处于黑暗状态。
DragonFly改进战术并重组恶意软件库
根据今天发布的关于该组活动的新报告,Dragonfly并没有停止活动,而是努力改进其整个运作模式。
赛门铁克研究人员表示,回顾历史数据,他们设法使用这些新技术确定可追溯到2015年12月的攻击。
该组从定制的恶意软件转变为“生活在陆地”的方法,该方法依赖于大多数Windows工作站上已经存在的操作系统管理工具,例如PowerShell,PsExec和Bitsadmin。
他们还转而使用普通的恶意软件,甚至采用了GitHub上提供的Phishery开源凭证窃取工具包。
黑客进入第二阶段
专家们还观察到目标的变化。 他们表示,截至2014年检测到的初步活动主要集中在了解能源设施的运作方式,而最近的攻击主要集中在“自己进入运营系统,以至于该组织现在可能具有破坏或控制能力的能力”。这些系统应该决定这样做。“
他们最近以Dragonfly 2.0的名义进行追踪的活动也比第一次更加活跃,发现了更多的攻击。
根据赛门铁克的说法,在美国,瑞士和土耳其发现了Dragonfly 2.0攻击。 赛门铁克在今天的一份报告中说:“美国和土耳其也是早期竞选活动中Dragonfly的目标国家之一,尽管在最近的竞选活动中对土耳其组织的关注确实显着增加。”
7月,美国国土安全部和联邦调查局向能源部门的公司发出有关袭击事件的警报。 对于该攻击,Dragonfly小组使用一个聪明的Word技巧通过隐藏在Word模板文件中的恶意SMB请求来收集内部网络的凭据。
专家担心破坏
研究人员特别担心该组织从受感染的计算机中窃取的数据。 该组在受感染计算机上部署的后门之一能够截取用户计算机的屏幕截图。
研究人员表示,这些屏幕截图的格式是“[机器描述和位置]。[组织名称]”,并且在许多屏幕截图中找到了“cntrl”一词,这意味着该组设法感染了对关键SCADA设备具有“控制权”的计算机和其他操作系统。
赛门铁克解释说:“Dragonfly 2.0广告系列展示了攻击者如何进入一个新阶段,最近的广告系列可能会为他们提供对操作系统的访问权限,访问可能会在未来用于更具破坏性的目的。”
在过去,研究人员表示,他们认为该集团将在俄罗斯境外运营,但没有任何确凿的证据表明过。 赛门铁克在第二次活动中也没有找到任何新的线索。 研究人员表示,他们在他们分析的恶意软件样本中发现了俄语和法语的文本,但是他们无法确定这些文本是否是故意种植的虚假标志,复制粘贴的代码或由该组织本身编写的真实代码。
在撰写本文时,网络间谍组织对关键基础设施进行破坏性攻击的唯一国家是伊朗(Stuxnet攻击)和乌克兰(BlackEnergy和Industroyer攻击)。
来源:HTTPS://www.bleepingcomputer.com/news/security/sabotage-warning-issued-on-hackers-hiding-deep-inside-energy-sector/
