俄羅斯的Sandworm與史無前例的丹麥能源黑客攻擊有關 - 彭博社

攝影師：Damian Lemański/Bloomberg今年對丹麥能源生產商發動的一次前所未有的網絡攻擊與一個熟悉的罪魁禍首有關。但首先…

必讀：

• 工商銀行飛赴美國試圖限制來自黑客攻擊的影響 • 網絡攻擊癱瘓澳大利亞港口威脅全球供應鏈• 網絡‘災難債券’試圖測試公共債務市場

網絡攻擊的角度

五月份對丹麥近兩打能源公司的攻擊迫使其中幾家公司停用了他們的互聯網連接。現在，一份由行業網絡安全組織發佈的新報告稱，與俄羅斯GRU軍事情報機構有關的黑客可能是幕後黑手。

“以前從未發生過如此大規模的網絡攻擊針對丹麥關鍵基礎設施，”丹麥能源供應商和其他關鍵基礎設施運營商的非營利性計算機應急響應團隊SektorCERT在報告中寫道。“攻擊者事先知道他們要瞄準誰，並且每次都準確無誤。”

報告中包括了一份攻擊的戲劇性逐分鐘描述，發現了一些惡意軟件與已被追蹤到與GRU關聯的Sandworm的IP地址通信的例子，後者被指責黑入烏克蘭的電力網絡和2018年冬奧會。然而，報告沒有明確將這一惡名昭著的持久性高級威脅組織或APT組織做出明確歸因。關鍵基礎設施包括供水和供電設施，被視為國家安全問題。自烏克蘭入侵以來，北歐當局一直對俄羅斯的干預保持高度警惕。

克里姆林宮發言人德米特里·佩斯科夫未回應置評請求。俄羅斯軍方經常否認參與黑客行動。

我曾報道過一系列由與俄羅斯有關的黑客發動的攻擊，包括對中國工商銀行美國分部的癱瘓性打擊，這是由多產的網絡勒索組織LockBit發動的。丹麥的醫院、機場、銀行和政府網站今年也經常受到分佈式拒絕服務攻擊的襲擊，這些攻擊試圖通過向服務器發送大量流量以迫使其下線，其中一些襲擊被與俄羅斯有關的組織認領，稱這是對烏克蘭支持的回應。

然而，丹麥事件的規模和複雜性表明了一個更令人擔憂的趨勢。LockBit是一個犯罪團伙，而DDoS攻擊通常只是短暫的不便。一個由國家支持的APT瞄準北約成員國的關鍵基礎設施將標誌着網絡戰的陰暗世界中的升級。

SektorCERT表示，丹麥高度分散的能源系統，擁有許多小型運營商，使其成為一個理想的目標。根據報告，攻擊始於台灣Zyxel通訊公司製造的防火牆的漏洞。Zyxel的發言人沒有立即回應評論請求。

攻擊者對他們顯然事先繪製的機器發動了精準打擊，併成功地進入了一些公司的工業控制系統。 SektorCERT表示，幾家受影響的公司不得不暫時切斷互聯網，其中一家公司下線了六天，但沒有透露受害者的身份。

報告強調，俄羅斯黑客仍然是全球關鍵基礎設施的一個強大威脅，包括那些歷史上從未成為目標的地區。就在幾天前，領先的美國網絡事件響應公司Mandiant（隸屬於谷歌雲業務）指責 Sandworm去年對烏克蘭能源基礎設施進行了一次未經披露的網絡攻擊。微軟公司警告，三月份Sandworm可能計劃在烏克蘭之外發動攻擊。

“在SektorCERT三年的運營中，我們從未看到這些APT組織對丹麥關鍵基礎設施發動攻擊的跡象，”該組織表示。“他們的活動往往是為了破壞他們所為之工作的國家出於各種政治或軍事考慮而設定的目標。”

這些入侵是通過在丹麥各地的關鍵基礎設施中安裝的270個傳感器網絡檢測到的，以監視網絡安全威脅。這些傳感器在Zyxel發佈了其產品中所描述的關鍵安全漏洞的細節後的兩週內標記了第一波攻擊，這使得SektorCERT能夠在黑客獲得控制之前檢測到這些感染。

大多數最初的攻擊之所以可能是因為受害者沒有安裝Zyxel的補丁。然而，在第二波攻擊中，即從5月22日開始的攻擊中，黑客利用了Zyxel防火牆中的不同漏洞，這發生在公司披露這些漏洞的兩天前，表明他們可能提前知道了這些漏洞。

“我們唯一可以確定的是，丹麥的關鍵基礎設施受到關注，並且網絡武器正在被用來攻擊我們的基礎設施，”SektorCERT表示。

本週我們學到了什麼

對於LockBit來説，這個十一月將是一個難忘的月份。作為全球最多產的勒索軟件組織，LockBit在對ICBC的網絡攻擊之後，攪亂了美國國庫市場，這個説法立即得到了證實，這個以俄語為主要語言的犯罪組織發佈了他們聲稱從波音公司竊取的內部文件。

LockBit的商業模式是將其軟件分發給一羣黑客，這些黑客使用勒索軟件加密受害者的計算機，然後要求支付以恢復訪問權限。勒索是LockBit的另一個槓桿，它威脅在未獲得支付時發佈敏感文件。上週五，它執行了對波音在十月底提出的最後通牒，發佈了超過40吉字節的據稱是從這家航空巨頭竊取的內部數據。

Bloomberg新聞無法驗證這些文件是否真實。波音在一份聲明中表示，其零部件和分銷業務最近遭遇了一起網絡安全事件，公司已經注意到了所謂的信息泄露，並表示確信這次攻擊“不會對飛機或飛行安全構成威脅。”

彭博社審閲的大多數已發佈文件似乎是存儲在Citrix、Ivanti和Winshuttle等設備和軟件中的數據備份，例如數據管理和工作空間工具。一個文件夾包含少量電子郵件，另一個包含內部培訓文件和詳細説明各種訂單和合同的電子表格。乍一看，並沒有什麼爆炸性的內容。相反，它們是乾燥的、技術性的，而且並不特別敏感。

即便如此，這次黑客攻擊顯示LockBit能夠入侵全球最大的航空航天公司。 — Ryan Gallagher

我們正在閲讀的內容

一羣少年黑客 癱瘓了互聯網，然後為FBI工作。

工商銀行的黑客使用了 美國當局之前標記的方法。

如果您在2016年之前創建了一個 比特幣錢包，您的資金可能不安全。

SolarWinds指責SEC在政府針對該軟件公司2020年黑客攻擊的訴訟中“歪曲事實”。

FBI 努力阻止危險的賭場黑客團伙，網絡應對人員表示。

研究人員表示，一場親巴勒斯坦的間諜活動正在在加沙戰鬥中發展。

釣魚攻擊

**有新聞線索嗎？**您可以聯繫Jordan Robertson，郵箱為[email protected]。Jake Rudnitsky的郵箱是[email protected]。您還可以使用我們的SecureDrop安全匿名地發送文件。

彭博更多內容

獲取科技日報和更多彭博科技週刊內容：

• 遊戲開始玩轉視頻遊戲行業
• 開機獲取蘋果獨家新聞、消費者科技新聞等
• 屏幕時間近距離觀看好萊塢和硅谷的碰撞
• 聲音片段報道播客、音樂行業和音頻趨勢
• 問答AI回答您關於人工智能的所有問題