专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

俄罗斯两黑客组织瞄准了美、加、澳等国关键基础设施

网空闲话plus · 公众号 · · 2024-12-09 06:36

正文

据Cyble公司12月6日的博文，两个俄罗斯黑客组织越来越多地将目标对准美国和其他国家的关键基础设施，他们的攻击远远超出了黑客组织通常进行的DDoS攻击和网站破坏。这两个组织——人民网络军和Z-Pentest——在其Telegram频道上发布了视频，据称视频显示其成员篡改了运营技术控制 (OT)，尤其是在石油和天然气以及水系统领域。Cyble暗网研究人员记录了一些发布的动态，分析攻击者可能主要是为了建立信誉，而不是对目标造成损害。但在上周，Z-Pentest的动作似乎有所升级，攻击目标包括破坏美国的一个油井系统。这些组织还获取了其他国家关键基础设施的运营控制信息，特别是加拿大、澳大利亚、法国、韩国、台湾、意大利、罗马尼亚、德国和波兰，经常声称对这些国家在乌克兰与俄罗斯的战争中提供的支持进行报复。有些攻击已被公开报道 - 最著名的是人民网络军对水利设施的攻击- 但 Z-Pentest 声称的能源部门攻击基本上没有引起关注。目前尚不清楚这两个俄罗斯组织能够造成多大的破坏，但鉴于美国网络安全和情报机构一再警告黑客深度渗透美国关键基础设施，这些环境应被视为极度脆弱，并应予以相应加强。

Z-Pentest组织的活动

Z-Pentest似乎自10月以来才开始活跃，但在这两个月内，Cyble的暗网研究团队记录了10起声称该组织发动的攻击，所有攻击都涉及访问关键基础设施环境中的控制面板。他们的主要Telegram频道最近被关闭，但该组织仍在X上存在，并声称总部设在塞尔维亚。

Z-Pentest最近的指控涉及破坏油井现场的关键系统，包括负责抽水、石油气燃烧和石油收集的系统。一段6分钟的屏幕录像显示了该设施控制系统的详细截图，显示了油箱设定点、蒸汽回收指标和操作仪表板，据称在入侵期间被访问和更改。目前尚不清楚该石油设施位于何处，但另外两个美国石油设施指控似乎与已知位置和公司相符。

在另外两起声称发动的攻击中，该威胁组织发布了一段时长4分钟的屏幕录像，其中他们访问了一系列操作控制（以下示例中删除了识别信息）。

虽然黑客很可能正在访问敏感环境，但尚不清楚他们能造成多大的破坏。例如，可编程逻辑控制器(PLC)通常包含可以防止破坏性行为发生的安全功能，但威胁行为者可以访问此类环境这一事实仍然令人担忧。

Cyble发现，近几个月来针对能源行业的威胁活动总体上有所增加。暗网索赔和勒索软件攻击有所增加，暗网市场上出售网络访问和零日漏洞。Cyble发现，在发生更大规模的入侵和攻击之前，暗网上就有出售能源网络访问凭证的情况，这表明监控凭证泄露可能是防止日后发生更大规模入侵的重要防御措施。

人民网络军的活动

更知名的“人民网络军”（PCA）——也被称为“俄罗斯网络军重生”——也一直在针对美国和其他国家的关键基础设施控制，有迹象表明PCA和Z-Pentest可能在合作。虽然该组织的许多活动都涉及DDoS攻击，但最近声称还入侵了美国一家环境清洁公司的控制面板以及德克萨斯州和特拉华州的水系统。

一些OT安全专家认为，供水和废水系统特别脆弱，部分原因是社区没有能力在长期没有这些系统的情况下应对这种情况。

人民网络军于8月底和9月发动了两次袭击，发布的屏幕记录显示该组织篡改了德克萨斯州斯坦顿市斯坦顿水处理厂和特拉华州纽卡斯尔水塔控制面板上的系统设置（下图）。

上图：斯坦顿水处理厂袭击事件

上图：特拉华州水塔袭击事件

在德克萨斯州的案件中，黑客能够打开阀门并释放未经处理的水，但除此之外据信没有造成任何损害。

总之，Cyble记录了人民网络军今年在美国和其他地方发动的八次供水系统攻击，其中包括1月份导致德克萨斯州阿伯纳西和穆尔舒的储水箱溢出的攻击。该组织自2022年以来一直以乌克兰盟友为目标，并于2024年7月受到美国政府的制裁。

应对措施

俄罗斯两黑客组织瞄准了美、加、澳等国关键基础设施

正文

请到「今天看啥」查看全文