美國電網存在脆弱“後門”，俄羅斯黑客被美媒指能隨意進出

2019-01-11

【編譯/觀察者網王愷雯】

美國的電網系統中竟存在一扇“後門”，讓俄羅斯黑客能乘機對美國發動攻擊？

《華爾街日報》1月10日的文章指出，俄羅斯黑客頻繁攻擊美國電網系統，很多人並不是正面入侵公用事業公司，而是把目標對準了防護措施更薄弱的電網承包商們。

通過這些小的立足點，黑客們沿着供應鏈往上爬。報道稱，俄羅斯黑客試圖滲透美國至少24個州、乃至加拿大和英國的電網，數百家小型承包商受到襲擊，其中不乏為美軍提供緊急電力系統的企業。

報道截圖（下同）

《華爾街日報》通過對文件、電腦記錄、相關公司職工、政府官員等調查採訪，詳細描述了一場影響廣泛的黑客攻擊事件。該事件後來甚至引發了美國聯邦調查局和國土安全部的聯合行動，美國政府也在2018年初點名指責俄羅斯試圖入侵其電網。

美國國土安全部網絡安全和通信項目助理秘書珍妮特·曼弗拉（Jeanette Manfra）稱，早在2016年夏天，美國情報官員就發現了黑客襲擊美國公用事業的跡象，“其所用的工具和方式表明攻擊者是俄羅斯人”。

2016年12月，一名聯邦調查局特工出現在伊利諾伊州唐納斯格羅夫的一個辦公室。這裏是CFE傳媒公司的總部，這是一傢俬營的小公司，出版《控制工程》和《諮詢指定工程師》等行業雜誌。

根據CFE的一封電子郵件，特工告訴員工，已經有“老手”將一個惡意文件上傳到“控制工程”的網站上。特工還警告稱，它可能被用來對他人發動攻擊。

雖然CFE聯合創始人史蒂夫·羅克（Steve Rourke）説自己的公司已經採取措施修復受感染網站，但管理諮詢公司埃森哲（Accenture）和網絡安全公司RiskIQ表示，不久後黑客就用惡意程序攻擊了這家公司的出版物。

“就像獅子在一個水坑裏追捕獵物一樣，黑客們跟蹤這些或其他貿易網站的訪問者，希望捕獲工程師這類人，並滲透到他們工作的公司，”RiskIQ研究員Yonathan Klijnsma表示，俄羅斯人可能會毀掉“業內任何人”。

根據美國政府關於攻擊的簡報和審查惡意代碼的安全專家的説法，攻擊者可以通過在網站上植入幾行代碼，從毫無戒心的訪問者那裏獲取計算機的用户名和密碼。國土安全官員表示，這種策略使俄羅斯人能夠接觸到美國更加敏感的系統。

通過對CFE的攻擊，黑客在2017年3月2日成功進入全面發掘美國（All-Ways Excavating USA）公司員工麥克·維泰洛（Mike Vitello）的電子郵件賬户，並向其客户發送大量釣魚郵件。但維泰洛不記得曾訪問過CFE的網站。

這封電子郵件會告訴收件人點擊鏈接下載一份文件，鏈接指向一個名為imageliners.com的網站，該網站原先是讓人們尋找廣播配音工作，但當時並沒有運作，其開發者也不知道黑客已經侵入了他的網站。

當天，該網站的訪問量急劇上升，報道稱，目前尚不清楚黑客通過網站獲取到受害者哪些信息，但相關服務器上的文件表明，受害者可能會看見一個偽造的“Dropbox”（一種文件共享應用程序）登錄頁面，誘使人們交出用户名和密碼。黑客也可能利用網站控制受害者電腦。

2017年3月2日，訪問imageliners.com的人數明顯上升

當維泰洛意識到他的電子郵件被劫持後，他馬上試圖警告他的聯繫人不要打開他發送的任何電子郵件附件，但黑客封鎖了這條消息。

全面發掘美國公司是一家政府承包商，與包括美國陸軍工兵部隊(U.S. Army Corps of Engineers)在內的機構競標，該公司經營着數十個聯邦政府所有的水力發電設施。

一家位於俄勒岡州科瓦利斯的小型專業服務公司在此次黑客襲擊中中招，2017年6月，黑客利用其公司系統又攻擊了至少6家能源公司，其中兩家公司幫助美軍在國內基地提供獨立的電力供應系統。

報道指出，在某些情況下，攻擊者只是簡單地研究新目標的網站，可能是為了未來的襲擊做準備。

2017年6月15日，黑客攻擊了越能控股有限公司（Reenergy Holdings LLC）的網站，這家可再生能源公司建立了一個小型發電廠，即使民用電網崩潰，也能讓紐約西部的德拉姆堡（Fort Drum）保持供電。德拉姆堡是美國某陸軍基地所在地，目前正考慮建設一個價值36億美元的導彈攔截系統。

一名知情人士説，雖然該公司受到入侵，但其發電設施未受影響，美國軍方已經注意到該事件。

同一天，黑客攻擊了大西洋電力公司（Atlantic Power Corp）的網站，該公司是一家獨立的電力供應商，向全美8個州及加拿大的某些省份的公用事業公司提供電力。該公司在一份書面聲明中指出，其經常遇到惡意攻擊，但表示“據我們所知，從未有人成功破壞公司的任何系統。”

黑客入侵過程

2017年7月，黑客通過科瓦利斯公司攻擊了三家英國公司。當年秋天，黑客重回此前已遭到入侵的俄亥俄州丹·考夫曼挖掘公司（Dan Kauffman Excavating），用相同手段向該公司大約2300名聯繫人發送郵件。收件人包括位於俄勒岡州的博納維爾電力管理局（Bonneville Power Administration）以及美國陸軍工兵部隊，前者管理着太平洋西北部75%的高壓輸電線路。

報道指出，美國政府發現此類攻擊後，在2017年10月的一份諮詢意見中警告公眾注意黑客活動，並將其歸咎於某隱蔽組織，被稱為“蜻蜓（Dragonfly）”或“能量熊（Energetic Bear）”，安全研究人員認為這些黑客組織和俄羅斯政府有關係。

2018年3月，美國土安全部和聯邦調查局進一步在報告中指出，從2016年3月開始或者更早，俄羅斯政府黑客就試圖攻擊美國電力、核能、商業設施、航空、製造業等多個關鍵基礎設施。

報道還稱，2018年，美國一些企業仍持續不斷收到黑客發出的電子郵件，前文提到的全面發掘美國公司也再度遭到黑客攻擊。而美國政府不確定有多少公用事業公司和供應商在俄羅斯的襲擊中受到損害。

俄羅斯駐華盛頓大使館的新聞辦公室沒有回覆《華爾街日報》的置評請求，但俄羅斯此前否認對美國關鍵基礎設施採取行動。

本文系觀察者網獨家稿件，未經授權，不得轉載。