|
目前尚不清楚网络攻击造成了什么损害或网络攻击是否使公共安全受到威胁。NCSC拒绝列出参与攻击的公司或提供有关攻击的详细信息。而负责清理旧核电厂和乏燃料的NDA说,提供详细信息是“不适当的”,理由是“该事件与NDA集团以外的组织有关”。 这些披露可能会促使人们猜测英国核电站的安全漏洞,无法提供详细信息引起了人们对英国核电部门透明度和安全性的担忧。独立核研究顾问戴维·洛瑞(David Lowry)表示,该部门将对透露的细节保持谨慎。他说,他们非常清楚,他们只需要发生一次安全事件,就会破坏整个系统的安全声誉。……仅出于声誉原因,他们承受不了失误的负担。因此不会过多披露细节。但从描述来看,此次网络攻击很有可能已经获取到极高的系统权限,否则仅靠隔离受害主机从而批量重装系统的方式即可进行业务恢复。 其中,原文称关于攻击目标的猜测可能集中在法国电力公司(EDF)上,法国电力公司在英国主导着核能发电。而该公司却拒绝在本周末就此事发表评论。 >>美国RavnAir航空公司遭受网络攻击 12月22日,据报道,黑客发起了一次针对Ravn Air航空公司的网络攻击,最终导致飞机维修等关键系统关闭,迫使Ravn Air航空公司取消了至少6个阿拉斯加的航班,影响了约260名乘客。 该航空公司在一份书面声明中表示,因为网络攻击迫使其断开了Dash 8的维护系统和备份,因此公司在中午之前取消了所有涉及Dash 8飞机的航班。该航空公司为阿拉斯加的100多个社区提供服务,其中许多社区无法通过公路到达。目前,Ravn Air航空公司正在与美国联邦调查局和网络安全专家合作,以恢复系统并调查网络攻击。 23号,公司对外宣布:我们将尽快在Dash-8航班上按照正常的时间表运行,我们将尝试在接下来的两天内增加航班数量,尽可能在其他航班上重新为受影响乘客安排座位。 >>中东遭伊朗恶意软件ZeroCleare攻击 12月20号,IBM的X-Force事件响应和情报服务(IRIS)发布报告,披露了一种全新的破坏性数据清除恶意软件 ZeroCleare,该恶意软件以最大限度删除感染设备数据为目标。 IBM虽没有透露此次遭受攻击的具体公司,但可以确认ZeroCleare瞄准的是中东的能源和工业部门,初步估算已有1400台设备遭感染。ZeroCleare用来执行破坏性攻击,主要是擦除主引导记录(MBR),并损坏大量网络设备上的磁盘分区,说白了就是大肆删数据。 IBM报告也证实,ZeroCleare和破坏性恶意软件Shamoon同宗,都是出自伊朗资助的顶级黑客组织之手。不同的是,Shamoon 来自APT33组织,而ZeroCleare由APT34(Oilrig)和Hive0081(aka xHunt)组织协作开发。 图表22 IBM发布的ZeroCleare恶意软件报告截图 伊朗黑客组织APT34(Oilrig)至少从2014年起就瞄准中东和国际受害者,目标也多集中在金融、政府、能源、化工和电信等关乎国家安全的重要领域。可以说,APT34的整体攻击动向,与伊朗国家利益和作战时间安排保持高度一致。 通过各种网络手段,帮助政府达成政治、经济、军事目的,是APT34一类国家级黑客组织行动的核心。今年早期,APT34(Oilrig)就曾伪装成剑桥大学相关人员,使用LinkedIn传送恶意文件,进行网络钓鱼攻击,预谋窃取重要信息。 从披露的攻击进程来看,执行ZeroCleare恶意程序前,黑客会先通过暴力攻击,访问安全性较弱的公司网络帐户,而当拿到公司服务器帐户的访问权限后,就会利用SharePoint漏洞安装China Chopper、Tunna一类的Web Shell工具。 随后,攻击者便会在入侵设备商,开启横向扩散模式,部署ZeroCleare数据摧毁恶意软件,上演破坏性的数据擦除攻击。至于攻击细节上,一个叫EldoS RawDisk的合法工具包无形中成了ZeroCleare的推手。 EldoS RawDisk是一个主要用于与文件、磁盘和分区进行交互的合法工具包。为了顺利运行ZeroCleare,攻击者会先通过名为soy.exe的中间文件,加载易受攻击签名驱动程序VBoxDrv,强制(DSE)接受并运行驱动程序。 成功拿到权限后,ZeroCleare就会通过滥用合法工具包EldoS RawDisk的方式,擦除MBR并损坏大量网络设备上的磁盘分区,达到破坏性攻击的目的。 值得一提的是,为了获得设备核心的访问权限,ZeroCleare还会使用易受攻击的驱动程序和恶意的PowerShell / Batch脚本,绕过Windows控件。 >>韩国数百家工业企业文件被窃取 12月18号,美国物联网及工控系统安全公司CyberX威胁情报小组公布了一项针对韩国工业企业的高级持续性间谍活动。据介绍,攻击者会使用带有恶意附件的鱼叉式网络钓鱼电子邮件,伪装成PDF文件发动攻击。成功入侵后,攻击者会从浏览器和电子邮件客户端中窃取登录数据,还会搜寻各种类型的文档和图像。 值得注意是,一旦有关工业设备设计的专有信息、商业秘密、知识产权被窃取,轻则攻击者会对攻击目标进行网络侦察,发动勒索攻击,或者将这些信息出售给竞争对手和寻求提高其竞争地位的国家;重则攻击者可以凭借对IoT / ICS网络的远程RDP访问权限,对该国重要且具有军事意义的工厂布局了如指掌,并可在某关键时刻,直接对该国的工业企业和关键基础设施进行破坏性打击。 另外,危机比我们想象的还要快。据统计,已有数百家韩国工业企业受到影响。其中,最大受害者为一家关键基础设施设备的制造商,它专为化工厂,输电、配电设施或可再生能源行业的公司提供产品。此外,钢铁制造商、化工厂建设公司、管道制造商、阀门制造商、工程公司等相关企业也确认受到影响。 更糟糕的是,攻击活动已波及全球。数据显示,泰国、中国、日本、印度尼西亚、土耳其、厄瓜多尔、德国、英国等多国工业系统也不同程度受到影响。 |
