根据美国国土安全部与FBI的调查分析,俄罗斯政府锁定美国的电厂、核子、航天等重大基础设施发动目标性的网络攻击,这些攻击针对目标精心设计,目前已知已访问发电厂控制系统相关数据。
美国国土安全部旗下的美国计算机紧急事件应变小组(United States Computer Emergency Readiness Team,US-CERT)周四(3/15)指出,根据美国国土安全部(DHS)及联邦调查局(FBI)的调查与分析,俄罗斯政府从2016年开始便针对美国的政府单位与重大基础建设展开网络攻击,并披露了俄罗斯政府与黑客的战术、技术与程序(Tactics, Techniques and Procedures,TPPs),同一天美国财政部即宣布将针对参与俄罗斯黑客行动的19名个人与5个组织展开制裁,冻结他们的资产。
US-CERT指出,由俄罗斯政府主导的黑客行动除了锁定美国政府机关外,还针对重要的能源、核子、商业设施、水资源、航天及制造业等领域的组织发动攻击,而且采用缜密的多阶段入侵行动,先进攻外围的、安全机制较为薄弱的合作企业,取得远程访问能源网络的渠道之后,再搜集有关工业控制系统的信息。
俄罗斯的攻击移动锁定了两种类别的受害者,包括阶段性目标与终极目标,前者指的是那些外围的第三方企业,以作为入侵终极目标的起点。
DHS与FBI将俄罗斯的黑客行动分为7个阶段,依次是侦察、制作武器、发送鱼叉式网络钓鱼邮件、开采目标对象、安装恶意程序、执行命令与控制,以及针对目标对象展开行动。显示出黑客有组织地探访攻击目标的生态体系,采用鱼叉式网络钓鱼邮件与水坑攻击等手法先行渗透阶段性目标,进而入侵终极目标的网络,例如使用阶段性目标的VPN、RDP 、Outlook Web Access等远程访问服务作为攻击终极目标的跳板。
迄今已确定黑客访问了有关发电厂控制系统(ICS)及数据采集与监控系统(SCADA)的文件,并复制了可访问ICS系统的文件与配置。
为了避免行迹败露,黑客会在入侵阶段性目标之后会删除纪录以抹除自己的足迹,也会在终极目标的网络上删除所创建的屏幕截屏与特定的登录机码,或是任何曾经安装过的工具。
美国财政部长Steven Mnuchin表示,美国政府以制裁来反击俄罗斯的黑客行动,该国政府企图干预美国大选、发动破坏性的网络攻击行动,以及入侵重要的基础架构,而且这只是其中的一部分,美国财政部也有意切断俄罗斯进入美国金融体系的渠道,让俄罗斯的官员与独裁者承担该有的责任。