背景
印度,一个神奇的国度。对于该国介绍,只有这一句足矣。
主角介绍:Kudankulam核电站,位于泰米尔纳德邦,是目前印度最大的核电站
Action
新闻社IANS 9月初的报道称,Kudankulam核电站的两个反应堆之一已中止运行,而一名Twitter用户将该停止与来自朝鲜的DTrack网络攻击关联在一起。
9月7号的推文:"我刚刚在印度网络空间中目睹了一个大灾难,它在各个层面上都很糟糕"
并在10月29日公开,称该核电站的域控服务器被控制。
并补充到,并不是他发现的网络入侵,而是第三方发现后通知了他,并在9月4号告知监管部门,第三方与
NCSC(英国国家网络安全中心)共享了样本后,卡巴斯基发布了报告,并将样本命名为DTrack。
卡巴斯基这篇文章链接:
https://securelist.com/my-name-is-dtrack/93338/
其中文章中提到的是在印度的银行ATM机中发现了该样本
并在最后将Dtrack归属于朝鲜的Lazarus组织。
而以上证据并不充分,但披露者转发的推文却给这个结论提供了支撑性证据。
下图的博主称其中一个DTRACK的样本中,存在通过硬编码的用户名和秘密通过SMB进行数据共享的代码片段。
黑鸟反编译后发现,确实有此事
net use \\10.38.1.35\C$ su.controller5kk /user:KKNPP\administrator
为何说此事可以证明确实有极大可能印度核电站真的被网络入侵了。
据黑鸟分析有两点。
一、样本上传地印度
二、最重要的一点,NPP是核电站的缩写,
nuclear power plant
。
而KKNPP前面的KK,就是Kudankulam的缩写,实际上这个缩写已经被印度这家核电站沿用多年了。
与此次攻击相关的样本合集,其中一部分均为内网地址。
b5ab935d750be8b5b7c9cf3b87c772ca
ebb52f45ff1483e82ff3258b7f086571
acd7aafa65d0dc4bdb5f04940107087b
4f8091a5513659b2980cb53578d3f798
d10781f6b0a420ba0a9addfa5411fd97
由于该事件引起舆论重要性,各路印度超级大V纷纷转发,国会议员沙希·萨罗尔(Shashi Tharoor)要求政府做出解释。在一则推文中说。称如果敌对国家能够对他们核设施进行网络攻击,那么对印度国家安全的影响是无法想象的,并称zf欠他们一个解释。
结论
大家可以看到我的题目打了个问号,那么必然会存在反转。(实际上也反转啥,所以我在题目后面加了个叹号)
在星期二发表的一份声明中,位于泰米尔纳德邦蒂鲁内尔维利区孟加拉湾附近的该发电厂否认了上述报道,并称目前两个反应堆都在运行。
该电厂的培训主管和信息官R. Ramdoss说:“一些虚假信息正在声称库丹库拉姆核电站的网络攻击,在社交媒体平台,电子和印刷媒体上传播。”
拉姆多斯说:“
这是为了澄清库丹库拉姆核电项目(KKNPP)和其他印度核电站控制系统是独立的,
并且未与外部网络和Internet连接,
不可能对核电站控制系统进行任何网络攻击。
” 。目前,KKNPP 1号和2号机组的运行功率分别为1000 MWe和600 MWe,而没有任何运行或安全方面的考虑。
系统独立,没有与外部互联网进行连接,所以不可能被攻击。
很难想象,这句话是一个核电厂信息官说出的话。
而上面的样本里面的内网地址,真的是活活在打着官方的脸啊。
目前,印度的社交媒体上充斥着谴责印度zf的安全脆弱,安全研究员普遍认为印度核电站确实被入侵并纷纷在挖掘更多的证据,但官方仍然声称起初声称网络入侵核电站的安全研究员是投机分子,并称没有被网络入侵。
但从事实上可见,即使官方后续已经声称没有遭受入侵,但是仍然谴责的声音不断,这个场景,很是熟悉。
