黑客攻擊能產(chǎn)生多大的破壞效果？

委內(nèi)瑞拉的國(guó)民可以現(xiàn)身說(shuō)法。兩個(gè)月前，委內(nèi)瑞拉全國(guó)發(fā)生大規(guī)模停電事件，影響 23 個(gè)州中的 18 個(gè)州，傳言這事是美國(guó)發(fā)動(dòng)了黑客攻擊，雖然美國(guó)沒(méi)認(rèn)，但是人家的國(guó)務(wù)卿跟自家總統(tǒng)一個(gè)做派，大喇喇地發(fā)了條推文印證了這個(gè)說(shuō)法：“No food. No medicine. Now， no power. Next， no Maduro.（沒(méi)吃沒(méi)藥沒(méi)電，下一步，沒(méi)總統(tǒng)。）”

委內(nèi)瑞拉別哭，前面烏克蘭的兄弟也被“襲擊”過(guò)兩次，傳聞是俄羅斯干的。

還有很多奇奇怪怪的大規(guī)模工業(yè)襲擊都是黑客干的，比如澳大利亞馬盧奇污水處理廠曾被非法入侵，無(wú)線連接信號(hào)丟失、污水泵工作異常、報(bào)警器也沒(méi)有報(bào)警。

這個(gè)事情有多嚴(yán)重？

前工程師 Vitek Boden 因不滿(mǎn)工作續(xù)約被拒而蓄意報(bào)復(fù)，通過(guò)一臺(tái)手提電腦和一個(gè)無(wú)線發(fā)射器控制150個(gè)污水泵站長(zhǎng)達(dá)三個(gè)多月，在此期間，共計(jì)有 100 萬(wàn)公升的污水未經(jīng)處理直接經(jīng)雨水渠排入自然水系，導(dǎo)致當(dāng)?shù)丨h(huán)境受到嚴(yán)重破壞。

2016年，又有黑客利用美國(guó)賓夕法尼亞州哈里斯堡市一家自來(lái)水廠員工的個(gè)人電腦入侵了該廠負(fù)責(zé)水過(guò)濾的電腦系統(tǒng)，并在水過(guò)濾電腦上安裝間諜軟件，利用受感染主機(jī)向外發(fā)送電子郵件和盜版軟件，與此同時(shí)，黑客還修改了該電腦的登錄密碼，致使水廠管理員也不能夠進(jìn)入操作系統(tǒng)。

不是水，就是電，還有工廠什么的，都是關(guān)鍵的工業(yè)基礎(chǔ)設(shè)施，這比破解個(gè)攝像頭密碼，分分鐘來(lái)場(chǎng)不可描述的直播更可怕（當(dāng)然，這也很可怕）。

黑客們到底用了什么厲害的武器搞這些攻擊？我們來(lái)盤(pán)點(diǎn)一下：

1、Stuxnet：工控網(wǎng)絡(luò)攻擊的里程碑

Stuxnet（又稱(chēng)作超級(jí)工廠、震網(wǎng)，雙子），是 Windows 平臺(tái)上的惡意代碼，于 2010 年 6 月被白俄羅斯的一家安全公司（VirusBlokAda）發(fā)現(xiàn)。因?yàn)閻阂獯a中包含“stux”字符，所以被命名為“震網(wǎng)病毒（Stuxnet）”。Stuxnet利用西門(mén)子公司控制系統(tǒng)（SIMATIC WinCC/Step7）存在的漏洞感染數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA），向可編程邏輯控制器（PLC）寫(xiě)入代碼并將代碼隱藏。因其代碼及其復(fù)雜攻擊手法極其隱蔽，也被稱(chēng)為有史以來(lái)最復(fù)雜的網(wǎng)絡(luò)武器，同時(shí)它也是全球首個(gè)在工控領(lǐng)域投入實(shí)戰(zhàn)并取得勝利的網(wǎng)絡(luò)武器。

該病毒 60% 的感染發(fā)生在伊朗。2012 年 6 月 1 日，美國(guó)《紐約時(shí)報(bào)》的一篇報(bào)道也證實(shí)了這一研究結(jié)果。報(bào)道內(nèi)容大致如下：Stuxnet病毒起源于 2006 年前后，由美國(guó)總統(tǒng)小布什啟動(dòng)的“奧運(yùn)會(huì)計(jì)劃”，是美國(guó)國(guó)家安全局外交事務(wù)局（FAD）在以色列協(xié)助下研發(fā)，旨在減緩伊朗的核計(jì)劃，從而避免采取高風(fēng)險(xiǎn)的空襲。2008年，奧巴馬上任后下令加速該計(jì)劃。

據(jù)估計(jì)，“震網(wǎng)”病毒使伊朗的核計(jì)劃延遲了至少2年。事后發(fā)現(xiàn)，在 2011 年以色列國(guó)防軍第19任總參謀長(zhǎng)加比？阿什克納齊的退役晚宴中的一段視頻顯示，Stuxnet 被以色列國(guó)防軍當(dāng)作一次勝利。

2013 年 5 月，Edward Snowden 在接受采訪中透露：美國(guó)國(guó)家安全局（NSA）和以色列聯(lián)手開(kāi)發(fā)了破壞伊朗鈾濃縮設(shè)備的 Stuxnet。在2009年至2010年，Stuxnet滲入伊朗核設(shè)施網(wǎng)絡(luò)，用于改變數(shù)千臺(tái)離心機(jī)發(fā)動(dòng)機(jī)的運(yùn)轉(zhuǎn)速度。這種突然的改變發(fā)動(dòng)機(jī)轉(zhuǎn)速會(huì)對(duì)離心機(jī)造成無(wú)法修復(fù)的傷害，從而達(dá)到破壞伊朗核研究的目的。

2013 年 6 月，美國(guó)司法部因 Stuxnet 泄密事件開(kāi)始調(diào)查美國(guó)戰(zhàn)略司令部前負(fù)責(zé)人詹姆斯卡特賴(lài)特（James Cartwright）將軍。聯(lián)邦調(diào)查人員懷疑卡特賴(lài)特向“紐約時(shí)報(bào)”記者泄露了該行動(dòng)的細(xì)節(jié)，詹姆斯卡特賴(lài)特當(dāng)即否認(rèn)這一指控，但是，在 2016 年 10 月 17 日，卡特賴(lài)特在美國(guó)哥倫比亞特區(qū)地方法院認(rèn)罪。2017 年 1 月 17 日，巴拉克？奧巴馬（Barack Obama）總統(tǒng)赦免了他，從而使他無(wú)罪。

根據(jù)紐約時(shí)報(bào)關(guān)于 Stuxnet 的報(bào)道，結(jié)合在任時(shí)間窗口和個(gè)人背景，其推測(cè) ，Stuxnet 的實(shí)際的執(zhí)行者有可能是前 CIA 將軍邁克爾？海登（Michael Hayden）。直到今天也沒(méi)有人正式承認(rèn)或否認(rèn)這次對(duì)伊朗的網(wǎng)絡(luò)打擊這是誰(shuí)干的，因?yàn)榧幢闶乾F(xiàn)在 Stuxnet 仍然具有攻擊性，甚至有可能已經(jīng)升級(jí)成為隱蔽性更好，破壞力更強(qiáng)大的更高級(jí)的病毒。

2、Duqu-Stuxnet 之子

Duqu（毒區(qū)）在 2011 年 9 月 1 日，于布達(dá)佩斯技術(shù)經(jīng)濟(jì)大學(xué)的密碼學(xué)與系統(tǒng)安全（CrySyS）實(shí)驗(yàn)室中被發(fā)現(xiàn)。由于它創(chuàng)建的臨時(shí)文件都是以 ~DQ開(kāi)頭，因此被命名為 Duqu。Duqu 與 Stuxnet 有一定的相似度，它們都使用了相同的加密算法和密鑰，此外，Duqu 也盜用了一家中國(guó)***公司（驊訊電子公司）的數(shù)字證書(shū)對(duì)惡意代碼進(jìn)行簽名。

Duqu2.0 是在 2015 年卡巴斯基的一次安全檢測(cè)中被發(fā)現(xiàn)的?？ò退够?jīng)過(guò)調(diào)查后發(fā)現(xiàn)，該惡意代碼已經(jīng)在其內(nèi)部網(wǎng)絡(luò)潛伏長(zhǎng)達(dá)數(shù)月，進(jìn)一步研究發(fā)現(xiàn)，入侵卡巴斯基和入侵伊朗核問(wèn)題“六方會(huì)談”承辦酒店電腦的都是 Duqu2.0 。

Duqu 主要目的是刺探與伊朗核計(jì)劃有關(guān)的情報(bào)。Duqu2.0 被一些安全機(jī)構(gòu)認(rèn)定是以色列“8200部隊(duì)”的產(chǎn)物，被用來(lái)監(jiān)視伊朗核談判和經(jīng)濟(jì)制裁，因?yàn)樗腥疚挥谌鹗亢蛫W地利酒店的計(jì)算機(jī)，這些酒店就是伊核六方會(huì)談（“P5+1”組織成員國(guó)包括美國(guó)、俄羅斯、中國(guó)、英國(guó)、法國(guó)和德國(guó)）的國(guó)際談判地點(diǎn)。

Duqu 2.0除了入侵卡巴斯基和“六方會(huì)談”，還針對(duì)奧斯維辛-比克瑙集中營(yíng)解放 70 周年的紀(jì)念活動(dòng)發(fā)動(dòng)了類(lèi)似攻擊，它的攻擊目標(biāo)組織還包括歐洲電信運(yùn)營(yíng)商，北非電信運(yùn)營(yíng)商和東南亞電子設(shè)備制造商等。

Duqu的攻擊目的不是以破壞為主，而是潛伏并收集被攻擊者的各種情報(bào)信息，為將來(lái)可能發(fā)生的網(wǎng)絡(luò)戰(zhàn)提供準(zhǔn)確的情報(bào)。

3、Flame

Flame（也被稱(chēng)作Flamer、Da Flame、sKyWiper、Skywiper）于 2012 年 5 月 28 日被卡巴斯基披露，由卡巴斯基在國(guó)際電信聯(lián)盟（ITU）的一次調(diào)查中發(fā)現(xiàn)。Flame是一種模塊化的、可擴(kuò)展的、可更新的，具有廣泛隱蔽性和極強(qiáng)攻擊性的惡意代碼。在收到控制者發(fā)出的控制指令后，F(xiàn)lame就能夠通過(guò)USB移動(dòng)存儲(chǔ)介質(zhì)以及網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，而發(fā)出控制指令的服務(wù)器來(lái)自世界各地。它會(huì)運(yùn)用包括鍵盤(pán)、屏幕、麥克風(fēng)、移動(dòng)存儲(chǔ)設(shè)備、網(wǎng)絡(luò)、WIFI、藍(lán)牙、USB和系統(tǒng)進(jìn)程在內(nèi)的所有的可能條件去收集信息。Flame還會(huì)將用戶(hù)瀏覽的網(wǎng)頁(yè)、通訊通話（Skype聊天記錄）、賬號(hào)密碼以至鍵盤(pán)輸入等記錄發(fā)送給遠(yuǎn)程操控病毒的服務(wù)器。此外，即便與服務(wù)器的聯(lián)系被切斷，攻擊者依然可通過(guò)藍(lán)牙信號(hào)對(duì)被感染計(jì)算機(jī)進(jìn)行近距離控制。功能極其豐富，覆蓋了用戶(hù)使用電腦的所有輸入輸出的接口。目前被定性為“工控病毒”。

Flame 病毒開(kāi)始主要集中攻擊中東地區(qū)，包括伊朗、以色列、巴勒斯坦、敘利亞、蘇丹、黎巴嫩、沙特阿拉伯和埃及等國(guó)家。據(jù)統(tǒng)計(jì)，世界范圍內(nèi)受感染電腦數(shù)量大約在 1000 至 5000 臺(tái)之間。

2012年6月19日，華盛頓郵報(bào)發(fā)表了一篇文章，聲稱(chēng) Flame 至少在5年前，由美國(guó)國(guó)家安全局、中央情報(bào)局和以色列軍方聯(lián)合開(kāi)發(fā)，該項(xiàng)目據(jù)說(shuō)是代號(hào)為奧運(yùn)會(huì)的一部分，旨在緩伊朗發(fā)展核武器的進(jìn)度，為進(jìn)行網(wǎng)絡(luò)破壞活動(dòng)收集情報(bào)。

攻擊伊朗的 Flame 病毒對(duì) AutoCAD 文件、PDF 文件、TXT 文件以及 Microsoft Word 和其它 Office 格式格外關(guān)注，它還對(duì)桌面上的內(nèi)容特別感興趣，似乎在有目的的收集被感染電腦中的技術(shù)文檔和圖紙類(lèi)情報(bào)。

4、Havex

Havex于 2013 年被發(fā)現(xiàn)，是一種用于攻擊特定目標(biāo)的遠(yuǎn)程控制木馬（Remote Access Trojan，RAT）。2014年初，Havex開(kāi)始對(duì)工業(yè)控制系統(tǒng)發(fā)起攻擊，感染SCADA和工控系統(tǒng)中使用的工業(yè)控制軟件。網(wǎng)絡(luò)安全公司CrowdStrike披露了一項(xiàng)被稱(chēng)為“Energetic Bear”（該黑客組織也被稱(chēng)作蜻蜓“Dragonfly”，因此Havex也被稱(chēng)作Dragonfly1.0）的網(wǎng)絡(luò)間諜活動(dòng)。據(jù) CrowdStrike 稱(chēng)：攻擊者試圖通過(guò)俄羅斯聯(lián)邦滲透歐洲、美國(guó)和亞洲的能源公司計(jì)算機(jī)網(wǎng)絡(luò)，在此次攻擊中所用的惡意軟件就是Havex RAT。

攻擊者通過(guò)把 ICS/SCADA 制造商的網(wǎng)站上用來(lái)供用戶(hù)下載的相關(guān)軟件感染木馬，當(dāng)用戶(hù)下載這些軟件并安裝時(shí)，實(shí)現(xiàn)對(duì)目標(biāo)用戶(hù)的感染。

Havex 可能是以竊取工控?cái)?shù)據(jù)情報(bào)為目的，因?yàn)樗?OPC 協(xié)議監(jiān)視受感染主機(jī)的數(shù)據(jù)通信。而OPC協(xié)議主要是流程工業(yè)上用的比較多，例如石油石化行業(yè)，這也是為什么說(shuō)Havex是針對(duì)工控行業(yè)的原因。

5、Dragonfly2.0

“Dragonfly”是著名的俄羅斯黑客組織，該黑客組織自 2010 年開(kāi)始活躍，直到 2014 年被安全公司披露后，一度停止了攻擊活動(dòng)，但是在 2017 年 9 月，它又開(kāi)始頻繁活動(dòng)，因?yàn)?a href="http://www.delux-kingway.cn/article/zt/" target="_blank">最新發(fā)現(xiàn)的“Dragonfly”從攻擊目的和惡意代碼技術(shù)上都有所提升，所以被稱(chēng)為“蜻蜓二代”或者“Dragonfly2.0”。目前的證據(jù)表明，實(shí)際上蜻蜓二代在 2015 年 12 月份就已經(jīng)有了活動(dòng)跡象。蜻蜓二代“Dragonfly2.0”和一代一樣，使用多種攻擊方式（惡意電子郵件、水坑攻擊和合法軟件捆綁）對(duì)目標(biāo)進(jìn)行滲透并植入惡意代碼。早期的Dragonfly活動(dòng)更像是處于探索性的階段，攻擊者只是試圖進(jìn)入目標(biāo)組織的網(wǎng)絡(luò)，Dragonfly 2.0的活動(dòng)則顯示了攻擊者已經(jīng)進(jìn)入了一個(gè)新的階段，最近的襲擊活動(dòng)可能為攻擊者提供了訪問(wèn)操作系統(tǒng)的機(jī)會(huì)，將來(lái)可能被用于更具破壞性的攻擊。

“Dragonfly”是一個(gè)專(zhuān)門(mén)以能源電力機(jī)構(gòu)、ICS設(shè)備制造廠商、石油管道運(yùn)營(yíng)商等為攻擊目標(biāo)的黑客組織，早期攻擊的目標(biāo)為美國(guó)和加拿大的防務(wù)和航空公司、美國(guó)和歐洲的能源公司、大多數(shù)受害者分布在美國(guó)、西班牙、法國(guó)、意大利、德國(guó)、土耳其和波蘭，而“Dragonfly2.0”則重點(diǎn)攻擊美國(guó)和土耳其。

6、BlackEnergy

BlackEnergy 是著名的黑客 Cr4sh 創(chuàng)造的。在 2007 年，他聲稱(chēng)不再開(kāi)發(fā)這款木馬，并且以$ 700 左右賣(mài)出源代碼（流通在俄羅斯的地下網(wǎng)絡(luò)）。最初，它被設(shè)計(jì)為一個(gè) DDos 攻擊工具，主要用于建立僵尸網(wǎng)絡(luò)，對(duì)定向的目標(biāo)實(shí)施 DDos 攻擊，源碼賣(mài)出后，新的開(kāi)發(fā)者為其開(kāi)發(fā)了各種功能的插件，以滿(mǎn)足各種攻擊需求。BlackEnergy 被不同黑客用于各自的用途，有的黑客用它發(fā)送垃圾郵件，有的黑客用來(lái)盜取銀行憑證，但是，在 2008 年“俄格沖突”期間，該工具被用來(lái)對(duì)格魯吉亞實(shí)施網(wǎng)絡(luò)攻擊，自此 BlackEnergy開(kāi)始轉(zhuǎn)向攻擊政治目標(biāo)。在 2014 年夏季， BlackEnergy 頻繁對(duì)烏克蘭政府及企事業(yè)單位發(fā)起攻擊，通過(guò)分析發(fā)現(xiàn)它有一款支持對(duì) ICS 監(jiān)測(cè)控制和數(shù)據(jù)采集類(lèi)的插件。這顯示出 BlackEnergy 還存在的一些特別的能力，不僅僅局限于 DDOS 攻擊。

其攻擊目標(biāo)為烏克蘭的ICS，能源，政府和媒體以及全球的ICS/SCADA公司和能源公司。

2015 年 11 月 22 日凌晨，克里米亞遭烏克蘭斷電，近 200 萬(wàn)人受影響。2015 年 12 月 23 日，烏克蘭電力網(wǎng)絡(luò)受到黑客攻擊，導(dǎo)致伊萬(wàn)諾-弗蘭科夫斯克州 22.5 萬(wàn)民眾失去電力供應(yīng)長(zhǎng)達(dá) 6 小時(shí)。

7、Industroyer

2017 年 6 月 12 日，一款針對(duì)電力變電站系統(tǒng)進(jìn)行惡意攻擊的工控網(wǎng)絡(luò)攻擊武器 Industroyer 被ESET披露。通過(guò)分析，我們發(fā)現(xiàn)該攻擊武器可以直接控制斷路器，可導(dǎo)致變電站斷電。 Industroyer 惡意軟件目前支持四種工控協(xié)議：IEC 60870-5-101、IEC 60870-5-104、IEC 61850以及OLE for Process Control Data Access（簡(jiǎn)稱(chēng)OPC DA）。這些協(xié)議廣泛應(yīng)用在電力調(diào)度、發(fā)電控制系統(tǒng)以及需要對(duì)電力進(jìn)行控制行業(yè)，例如軌道交通、石油石化等重要基礎(chǔ)設(shè)施行業(yè)，尤其是 OPC 協(xié)議作為工控系統(tǒng)互通的通用接口更廣泛應(yīng)用在各工控行業(yè)。可以看出，攻擊者對(duì)于工控系統(tǒng)尤其是電力系統(tǒng)相關(guān)的工控協(xié)議有著深厚的知識(shí)背景，并且具有目標(biāo)工控環(huán)境下的各種工控設(shè)備，攻擊者需要這些設(shè)備來(lái)實(shí)現(xiàn)惡意代碼的編寫(xiě)和測(cè)試工作。

與 2015 年襲擊烏克蘭電網(wǎng)最終導(dǎo)致2015年12月23日斷電的攻擊者使用的工具集（BlackEnergy、KillDisk、以及其他攻擊模塊）相比，這款?lèi)阂廛浖墓δ芤饬x重大，它可以直接控制開(kāi)關(guān)和斷路器，Industroyer 身后的黑客團(tuán)隊(duì)無(wú)論從技術(shù)角度還是從對(duì)目標(biāo)工控系統(tǒng)的研究深度都遠(yuǎn)遠(yuǎn)超過(guò)了2015年12月烏克蘭電網(wǎng)攻擊背后的黑客團(tuán)隊(duì)。

通過(guò)對(duì)該批惡意軟件的編譯時(shí)間推測(cè)該惡意軟件曾被利用來(lái)攻擊烏克蘭的變電站導(dǎo)致2016年12月那次半個(gè)小時(shí)的烏克蘭停電事件。目前可以說(shuō) Industroyer 惡意軟件是繼 STUXNET、BLACKENERGY 2以及 HAVEX 之后第四款對(duì)針對(duì)工業(yè)控制系統(tǒng)進(jìn)行攻擊的工控武器。

其攻擊目標(biāo)為烏克蘭的ICS，能源，政府和媒體以及全球的 ICS/SCAD A公司和能源公司。

據(jù)推測(cè)，2016 年 12 月那次半個(gè)小時(shí)的烏克蘭停電事件是由 Industroyer 攻擊導(dǎo)致。

8、GreyEnergy

2018 年 10 月 18 日，ESET 研究團(tuán)隊(duì)稱(chēng)發(fā)現(xiàn)一個(gè)新的 APT 組織 GreyEnergy，且該 APT 組織是 BlackEnergy 的繼承者，因 BlackEnergy 在 2015 年引發(fā)烏克蘭大停電而名聲大噪，此后便銷(xiāo)聲匿跡，而GreyEnergy的活動(dòng)記錄也同時(shí)出現(xiàn)，另外，2015年同期還出現(xiàn)了另一個(gè)組織TeleBots（可能是2017年策劃大規(guī)模NotPetya病毒的爆發(fā)的幕后黑手）。除了兩者幾乎同時(shí)出現(xiàn)之外， GreyEnergy在2016年使用的一種破壞性惡意軟件Moonraker Petya。顧名思義，它與NotPetya類(lèi)似，雖然不太先進(jìn)，但是這表明GreyEnergy和TeleBots之間的合作，或者至少是思想和代碼的交流。

ESET研究團(tuán)隊(duì)認(rèn)為BlackEnergy演變?yōu)閮蓚€(gè)獨(dú)立的組織：TeleBots 和 GreyEnergy。

GreyEnergy 主要針對(duì)烏克蘭和波蘭的能源部門(mén)、交通部門(mén)等高價(jià)值目標(biāo)，攻擊行為主要是網(wǎng)絡(luò)偵查（即間諜行為）。GreyEnergy 與 BlackEnergy 具有很多相似之處，它也是采用模塊化結(jié)構(gòu)，目前已經(jīng)發(fā)現(xiàn)的模塊有：注入模塊、獲取系統(tǒng)信息模塊、文件管理模塊、屏幕截圖模塊、鍵盤(pán)記錄模塊、密碼和憑證竊取模塊、代理模塊、ssh隧道模塊等，但是至今仍未發(fā)現(xiàn)專(zhuān)門(mén)針對(duì) ICS 的惡意軟件模塊。

據(jù)目前所獲情報(bào)，此次攻擊主要對(duì)烏克蘭和波蘭的能源部門(mén)及交通部門(mén)進(jìn)行滲透攻擊，以期獲取相關(guān)數(shù)據(jù)和情報(bào)。

可能導(dǎo)致烏克蘭和波蘭的能源相關(guān)重要部門(mén)的信息泄露，內(nèi)部敏感信息、相關(guān)技術(shù)資料內(nèi)部網(wǎng)絡(luò)架構(gòu)等重要信息被竊取。

9、VPNFilter

VPNFilter 惡意代碼是由思科 Talos 團(tuán)隊(duì)首次公開(kāi)，因其危害極其嚴(yán)重，Talos并未完成全部分析。VPNFilter惡意代碼旨在入侵物聯(lián)網(wǎng)設(shè)備（路由器、網(wǎng)絡(luò)存儲(chǔ)設(shè)備等）從事可能由國(guó)家發(fā)起的全球性的高級(jí)惡意軟件攻擊。截止 2018 年 5 月 23 日，至少有 54 個(gè)國(guó)家遭入侵，已感染約 50 萬(wàn)臺(tái)路由器。由于其核心模塊文件為 VPNFilter，故該惡意代碼也被命名為“VPNFilter”。FBI稱(chēng)此次攻擊與俄羅斯政府支持的黑客組織Fancy Bear有關(guān)。Fancy Bear又稱(chēng)作奇幻熊、APT28、Sofacy Group、Pawn Storm、Sednit。

自 2007 年以來(lái)，F(xiàn)ancy Bear一直在進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)，入侵過(guò)北約、奧巴馬白宮、法國(guó)電視臺(tái)、世界反興奮劑機(jī)構(gòu)和無(wú)數(shù)非政府組織以及歐洲、中亞和高加索地區(qū)的軍事和民間機(jī)構(gòu)，是一個(gè)臭名昭著的黑客組織。

在 2018 年 5 月 8 日出現(xiàn)大規(guī)模的以烏克蘭為主要目標(biāo)的攻擊活動(dòng)，并且在 5 月 17 日烏克蘭的受感染設(shè)備出現(xiàn)大幅度增加，這些受感染設(shè)備均受控于C&C 46.151.209.33， 看起來(lái)此次攻擊目標(biāo)似乎瞄準(zhǔn)烏克蘭。

烏克蘭電力系統(tǒng)曾經(jīng)受到過(guò)兩次黑客攻擊，并且導(dǎo)致了停電事故。

10、Triton

2017 年 11 月中旬，Dragos Inc.團(tuán)隊(duì)發(fā)現(xiàn)了針對(duì) ICS 量身定做的惡意軟件，并將此惡意軟件命名為T(mén)RISIS（又被稱(chēng)為 Triton 和 HatMan），同年 12 月， FireEye 發(fā)布了 Triton 的分析報(bào)告。Triton 是首款針對(duì)安全儀表系統(tǒng)進(jìn)行攻擊的惡意軟件，Triton 惡意軟件旨在針對(duì)施耐德電氣的工業(yè)環(huán)境中使用的 Triconex安全儀表系統(tǒng)（SIS）控制器，共采用 5 種不同開(kāi)發(fā)語(yǔ)言構(gòu)建，僅能在其瞄準(zhǔn)的工業(yè)設(shè)備上執(zhí)行。TRIRON惡意代碼可對(duì) SIS 系統(tǒng)邏輯進(jìn)行重編輯，使 SIS 系統(tǒng)產(chǎn)生意外動(dòng)作，對(duì)正常生產(chǎn)活動(dòng)造成影響；能使SIS系統(tǒng)失效，在發(fā)生安全隱患或安全風(fēng)險(xiǎn)時(shí)無(wú)法及時(shí)實(shí)行和啟動(dòng)安全保護(hù)機(jī)制，從而對(duì)生產(chǎn)活動(dòng)造成影響；還可以對(duì)DCS系統(tǒng)實(shí)施攻擊，并通過(guò)SIS系統(tǒng)與DCS系統(tǒng)的聯(lián)合作用，對(duì)工業(yè)設(shè)備、生產(chǎn)活動(dòng)以及人員健康造成破壞。

2018 年 5 月 4 日，Dragos 公司稱(chēng) Triton 背后的黑客組織 Xenotime 已經(jīng)擴(kuò)大了攻擊范圍，除了攻擊施耐德電氣的 Triconex 以外還針對(duì)其它的系統(tǒng)。

Xenotime 黑客組織可能自 2014 年開(kāi)始活躍，于 2017 年成功攻擊中東一家石油天然氣工廠，致其工廠停運(yùn)。工業(yè)網(wǎng)絡(luò)安全和威脅情報(bào)公司 CyberX 的研究人員曾認(rèn)為，Triton的幕后黑手是伊朗，但Dragos并未提供任何有能夠證明此猜測(cè)的證據(jù)信息。Dragos 公司指出，尚未發(fā)現(xiàn) Xenotime 與其它已知黑客組織存在關(guān)聯(lián)的線索。

2018 年 10 月 23 日，F(xiàn)ireEye 稱(chēng)他們發(fā)現(xiàn)了 Triton 惡意軟件與位于莫斯科的俄羅斯政府研究機(jī)構(gòu)中央化學(xué)與機(jī)械科學(xué)研究所（CNIIHM）之間的聯(lián)系：樣本中語(yǔ)言西里爾文和時(shí)區(qū)與俄羅斯相關(guān)；通過(guò)分析測(cè)試文件PDB路徑的字符串，發(fā)現(xiàn)一段特殊字符串可能是俄羅斯信息安全社區(qū)活躍用戶(hù)（從2011年開(kāi)始活躍）的昵稱(chēng)，結(jié)合被廢棄的社交媒體資料，推測(cè)出這個(gè)人是CNIIHM的教授，該教授位于莫斯科 Nagatino-Sadovniki 區(qū)的 Nagatinskaya 街附近；該研究所注冊(cè)的一個(gè)IP地址（87.245.143.140）參與了Triton攻擊。此外，值得一提的是CNIIHM具備開(kāi)發(fā)Triton惡意軟件的能力，它擁有專(zhuān)門(mén)研究關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和武器及軍事裝備開(kāi)發(fā)的研究部門(mén)，并與廣泛的其他組織合作，包括計(jì)算機(jī)科學(xué)，電氣工程，國(guó)防系統(tǒng)和信息技術(shù)。

它的攻擊至少針對(duì)一個(gè)中東地區(qū)的組織。其他使用施耐德電氣的Triconex安全儀表系統(tǒng)（SIS）控制器的能源單位也面臨被攻擊的風(fēng)險(xiǎn)，據(jù)不完全統(tǒng)計(jì)，該型號(hào)的控制器被全球 1.8 萬(wàn)家工廠使用，其中包含核相關(guān)設(shè)施。

2017年其成功攻擊中東一家石油天然氣工廠，導(dǎo)致這家工廠停止運(yùn)營(yíng)。