印度核电站攻击事件后续:将恶意软件Dtrack通过钓鱼植入核电站内主机
2019-12-23 10:18:53 Author: www.4hou.com(查看原文) 阅读量:396 收藏

导语:核电站的计算机上如果驻留恶意软件会造成什么后果?近日,发现恶意软件Dtrack被植入了了印度Kudankulam核电站的网络中。 研究人员正在分析Dtrack的传播路径,有人说它是从网络钓鱼电子邮件进入的。

0x01  事件背景

核电站的计算机上如果驻留恶意软件会造成什么后果?近日,发现恶意软件Dtrack被植入了了印度Kudankulam核电站的网络中。

研究人员正在分析Dtrack的传播路径,有人说它是从网络钓鱼电子邮件进入的。

0x02  事件分析

追踪Dtrack

德勤阿根廷公司分析师加布里埃拉·尼古拉(Gabriela Nicolao)监测到最新恶意软件Dtrack,存在于印度最大的核电厂的计算机上。

尼古拉在布宜诺斯艾利斯接受采访时对《阿切尔新闻》说:“如果核设施出现问题,它将对现实生活产生巨大影响。”

幸运的是,Nicolao在11月在阿根廷的一次会议上所解释,Dtrack恶意软件并没有进入实际控制核电站的机器,而是进入了管理计算机。

但是此事件使人们对恶意软件如何进入此敏感设施提出了疑问。

印度Kudankulam核电站的控制室

Dtrack是如何进入的?

韩国研究人员说,这些黑客组织是来自朝鲜的Kimsuky,冒充电子邮件伪装来自印度核能组织(如原子能监管局和Bhabha原子研究中心)员工的电子邮件,研究人员在Twitter上发布了一封电子邮件,该电子邮件似乎是网上诱饵之一

“很抱歉打扰您。从美国寄给我们一份监管文件,这是不公开的,我们希望您检查该文档并提出您的意见。”电子邮件中写道,诱使收件人单击附件。

根据Issue Makers Lab的信息,将钓鱼电子邮件发送到SA Bhardwaj。

被黑的服务器

来自印度的网络安全专家Yash Kadakia告诉Archer News,他分析了攻击者黑客发送的网络诱骗服务器。他发现,他们向包括印度航天和核计划在内的五个机构的十几个人发送了网络钓鱼电子邮件。

他们的目标包括印度原子能管理委员会前主席SA Bhardwaj和该国原子能委员会前主席Anil Kakodkar。网络钓鱼持续了大约两年时间。

据Kadakia称,在某个时候,与核电站有联系的人单击了,电子邮件将Dtrack下载到他或她的计算机上。然后,印度政府说,当该人出于“管理目的”连接到Kudankulam网络时,Dtrack会在工厂计算机上运行。

网络情报分析师Pukhraj Singh于9月7日以秘密推文宣布了这一事件,印度政府随后在10月30日的新闻稿中证实了这一事件。

一位网络情报分析师在9月7日发布了有关Kudankulam恶意软件案的推文

Dtrack是如何工作的?

Nicolao说,该恶意软件收集信息并将其发送到另一台计算机,这是核电站网络内的另一台计算机。然后,Dtrack收集信息并将其发送回攻击者, Dtrack是一种具有很多功能的恶意软件。

根据Nicolao的说法,这很可能是针对性攻击,因为攻击者在其代码中使用了来自工厂的凭据。

Issue Makers Lab的推文显示了KKNPP或Kudankulam核电站的用户名。

其他版本

研究人员还发现了其他版本的Dtrack。

卡巴斯基在9月份报道称,他们称为Lazarus小组的黑客在印度使用Dtrack作为间谍工具,并使用ATMDtrack  从印度的ATM机上窃取卡号

卡巴斯基将拉撒路组织与对韩国,美国和其他国家的攻击联系起来。

该公司的研究人员还发现与2013年DarkSeoul行动有关,攻击者在韩国电视台和银行中袭击了30,000台计算机,从而阻止人们取钱。

卡巴斯基的康斯坦丁·佐科夫Konstantin Zykov)写道: “似乎他们重用了部分旧代码来攻击印度的金融部门和研究中心。”

据赛门铁克称,2017年臭名昭著的WannaCry勒索软件攻击中使用的某些工具与Lazarus组“紧密联系”。

Zykov说:“就恶意软件开发而言,我们能够找到的大量Dtrack样本表明,Lazarus组是最活跃的APT组之一。”

在ATM机上的印度卢比

Dtrack进球

尽管Dtrack无法操作核反应堆,但仍可能造成伤害。

亚洲时报》报道,Dtrack攻击者是在收集印度该厂的燃料产量,这是评估该国民用和军事核能力计划的一部分。而且,一旦攻击者知道了工厂的工作方式,他们就可以返回更多信息,包括尝试自己控制机器。

“这是一种侦察工具,”尼古拉说。“这意味着这可能是更大攻击的第一步。”

印度库丹库拉姆邦的库丹库拉姆核电站

印度政府表示,其关键的内部网络(运行核设备的计算机)受到保护,因为它们未连接到Internet。

但是安全专家说,即使是物理隔绝的系统也会受到损害。

他们指出了2010年的Stuxnet攻击,其中Stuxnet恶意软件通过驱动器被带入伊朗核设施,并摧毁了数百台离心机。

0x03  安全措施

据新闻报道,印度政府正在做出改变,加强网络安全。

Issue Makers Lab说,4月份,Kimsuky黑客试图窃取印度新型燃烧reactor的核反应堆的设计信息。

实验室说,在一月份,他们试图袭击比利时核研究中心的研究人员。

11月,  审计师发现  美国能源部如何管理其核设施的网络安全方面存在漏洞。

监察长办公室在报告中说:“如果没有改善措施来解决我们报告中指出的漏洞,该部的信息系统和数据可能会遭到泄露,丢失或修改。”


文章来源: https://www.4hou.com/info/news/22161.html
如有侵权请联系:admin#unsafe.sh