E安全3月5日訊 工業(yè)網(wǎng)絡安全廠商 Dragos 公司2018年3月1日發(fā)布報告表示，目前至少有五個高水平威脅集團的惡意活動主要集中在工業(yè)控制系統(tǒng)（簡稱ICS）身上。

五個黑客組織的詳細介紹及比較

雖然非針對性惡意軟件入侵工業(yè)系統(tǒng)的狀況并不罕見，但目前此類針對性攻擊同樣正變得愈發(fā)普遍。Dragos 公司目前正在持續(xù)追蹤五個威脅組織，其皆曾經(jīng)直接攻擊工業(yè)控制系統(tǒng)或者對收集此類信息的相關信息表現(xiàn)出興趣。

Electrum

該公司追蹤的惡意組織之一是 Electrum，該組織最知名的“壯舉”，當數(shù)2016年12月利用 CRASh OVERRIDE/Industroyer惡意軟件導致烏克蘭大規(guī)模停電。Electrum 與 Sandworm Team 可能存在關聯(lián)，其中后者被廣泛認定為造成烏克蘭2015年停電事故的幕后操縱者。而俄羅斯政府則被指控為與這兩輪攻擊事件有關。

盡管自2016年針對烏克蘭電力設施的攻擊以來，Electrum 再沒有發(fā)動任何大規(guī)模攻擊，但 Dragos 公司表示其仍然繼續(xù)保持活躍，且有證據(jù)表明其進一步擴大了打擊目標范圍。Dragos 公司在其報告中指出，“盡管 Electrum 以往的惡意活動主要針對烏克蘭，但從其它小范圍惡意事件信息以及該集團同 SANDWORM 間的關聯(lián)來看，我們認為 Electrum 很可能在支持者的授意下被‘另委重任’?！?/p>

Covellite

Dragos 公司關注的另一個惡意組織為 Covellite ，其與朝鮮旗下惡名昭著的 Lazarus 集團有關。Dragos 公司的研究人員們自2017的9月起開始觀察 Covellite，當時其正針對美國各電網(wǎng)公司發(fā)動具有高度針對性的網(wǎng)絡釣魚攻擊。研究人員們隨后發(fā)現(xiàn)，該集團亦可能對歐洲、北美以及東亞地區(qū)的多個組織機構發(fā)動了攻擊。

與 Electrum 不同，Covellite 截至目前仍未使用過任何專門針對工業(yè)系統(tǒng)的惡意軟件。

Dymalloy

Dragos 公司的報告還總結了 Dymalloy 集團的活動。Dymalloy 集團在對 Dragonfly 行動的調(diào)查中漸漸浮出水面，亦被稱為 Crouching Yeti 以及 Energetic Bear。所謂 Dragonfly 行動，很可能是俄羅斯在境外利用高復雜度惡意軟件 Havex 實施的一系列攻擊舉措——近期，美國已經(jīng)有多家能源廠商發(fā)現(xiàn)其控制系統(tǒng)遭遇 Dragonfly 行動的侵擾。

Dragos 公司認為，Dymalloy 與 Dragonfly 并無關聯(lián)（至少沒有直接關聯(lián)），因為前者使用的工具并不像 Havex 那樣先進。然而，Dymalloy 黑客們確實設法入侵了位于土耳其、歐洲以及北美的多家工業(yè)控制系統(tǒng)廠商，并獲得了對 HMI （即人機接口）設備的訪問權限。Dymalloy 自2017年以來在活躍度方面似乎有所降低，這可能是為了回避媒體以及安全研究人員對其給予的高度關注。

Chrysene

自2017年年中以來，Dragos 公司還一直在持續(xù)追蹤 Chrysene 集團。該集團的主要業(yè)務集中在北美、西歐、以色列以及伊拉克，且特別關注電力、石油與天然氣等行業(yè)機構。

Chrysene 目前繼續(xù)保持活躍，且曾經(jīng)使用伊朗網(wǎng)絡間諜團體 OilRig 與 Greenbug 相關惡意框架的一種變種。

Dragos 公司指出，“盡管 Chrysene 的惡意軟件與其它威脅組織所使用的類似工具相比，在功能性方面得到了顯著增強，但我們尚未觀察到該惡意集團使用其中專門針對工業(yè)控制系統(tǒng)的功能。而且其截至目前的所有活動似乎都集中在對工業(yè)控制系統(tǒng)相關組織實施 IT 滲透與間諜活動身上?！?/p>

值得注意的是，最近發(fā)現(xiàn)的一種被稱為 Trisis/Triton 的惡意軟件屬于專門用于破壞安全儀表系統(tǒng)（簡稱SIS）的首種威脅工具，且部分研究人員認為其與伊朗方面存在關聯(lián)。

Magnallium

引發(fā) Dragos 公司關注的最后一個以工業(yè)控制系統(tǒng)為主要目標的威脅組織為Magnallium，其同樣與伊朗有所聯(lián)系。自 FireEye 公司以 APT33 為代碼對其惡意活動發(fā)布報告后，Dragos 方面就開始追蹤這一惡意集團。

盡管部分媒體在報道中認為 APT33 的主要打擊目標集中在工業(yè)控制系統(tǒng)以及關鍵基礎設施層面，但 Dragos 公司的調(diào)查結果顯示，該組織似乎并不具備任何針對工業(yè)控制系統(tǒng)的攻擊能力。

Dragos 公司表示，盡管這些惡意集團當中，只有一個能夠通過專門針對工業(yè)控制系統(tǒng)的惡意軟件影響其網(wǎng)絡運營，但全部五個集團都至少參與到與工業(yè)控制系統(tǒng)環(huán)境相關的偵察與情報收集活動當中。這些集團在2017年中的整體活動中相對保持穩(wěn)定，可能是一些已經(jīng)發(fā)生的安全事件尚未被察覺。