騰訊科技訊 據國外媒體報導,2017年3月的一天早上,邁克·維泰羅(Mike Vitello)的工作電話響了。客戶想了解他們剛剛收到的一封奇怪電子郵件的更多資訊。維泰羅想簽的協定是什麽?附件在哪裡?
維泰洛先生不知道他們在說什麽。他工作的俄勒岡州建築公司“全方位挖掘美國公司”( All-Ways Excavating US)進行了檢查。他們告訴維特洛的聯繫人,這封電子郵件是偽造的,別理它。
幾個月後,美國國土安全部(U.S.Department of Homeland Security)派出了一個小組檢查該公司的電腦。一名政府特工告訴維泰洛先生的同事道恩·考克斯,你們被攻擊了,也許是俄羅斯人乾的,他們試圖攻擊電網。
“他們截獲了我的每一封電子郵件,”維泰洛說。“見鬼!我只是一個無名小卒。”
“不是你的問題,這是你認識的人(乾的),”考克斯女士說。
這家位於俄勒岡州塞勒姆(Salem)附近、與公用事業公司和政府機構合作的15人公司遭到了網絡攻擊,這是外國對美國電網發動的已知最嚴重黑客攻擊中的一次早期攻擊。這引發了如此多的警報,以至於美國官員在2018年初采取了不尋常的步驟,公開指責俄羅斯。
這次黑客攻擊過程的重建揭示了美國電力系統核心的一個明顯的脆弱性。黑客們不是正面攻擊公用事業公司,而是攻擊該系統不受保護的弱點——數以百計的承包商和分包商,就像上述的全方位挖掘美國公司,他們沒有理由對外國特工保持高度警惕。
在這些小小的立足點上,黑客們沿著供應鏈往上爬。一些專家認為,20多家公用事業公司最終被黑客攻破。
該計劃的成功與其說是因為它的技術能力——儘管攻擊者確實使用了一些聰明的策略——不如說是因為它借助於模仿和欺騙來利用了可信任的業務關係。
黑客在公用事業工程師經常閱讀的在線出版物的網站上植入惡意軟體。他們寄出了帶有惡意軟體附件的假簡歷,假裝是求職者。一旦他們有了電腦網絡账號密碼,他們就會潛入公用事業技術人員使用的隱藏門戶系統,在某些情況下進入監測和控制電流的電腦系統。
美國媒體通過檔案、電腦記錄和對受影響公司的人員、現任和前任政府官員以及安全行業調查人員的採訪,複原出了這次黑客攻擊是如何發生的。
美國政府還沒有點名指出受到俄羅斯黑客攻擊的公用事業機構或其他公司名單。
美國媒體指出指出了一些小企業,如華盛頓州裡奇菲爾德的商業承包商公司(Business Contractors Inc.),俄勒岡州泰格爾市的卡爾森測試公司(Carlson Testing Inc.),以及聯邦政府旗下的邦納維爾電力管理局(Bonneville Power Administration)和巴菲特掌管的伯克希爾哈撒韋公司旗下的太平洋公司。其中兩家被攻擊的能源公司生產向陸軍基地提供緊急電力的系統。
俄羅斯的行動引發了美國聯邦調查局和國土安全部的聯合行動,他們開始追溯襲擊者的行動步驟,並通知可能的受害者。一些公司在政府調查人員打電話來之前並不知道自己受到了攻擊,而另一些公司在美國媒體聯繫之前不知道自己已成為俄羅斯攻擊目標。
前國土安全部網絡政策助理部長、現為PaulHastings LLP律師事務所合夥人的羅伯特·P·西爾弗斯(Robert P.Silvers)表示:“俄羅斯所做的是在不扣動扳機的情況下,為戰場做好準備。”
俄羅斯駐華盛頓大使館新聞辦公室沒有回應記者的多次置評請求。俄羅斯此前否認對美國關鍵基礎設施采取行動。
早期受害者
美國國土安全部網絡安全和通信項目助理部長珍妮特·曼夫拉(Jeanette Manfra)說,2016年夏天,美國情報官員發現了黑客攻擊美國公用事業的跡象。這些工具和戰術表明攻擊者是俄羅斯人。曼夫拉說,情報機構通知了國土安全部。
2016年12月,一名聯邦調查局(FBI)特工出現在伊利諾伊州唐斯格羅夫(Dowers Grove)的一個辦公室,距離芝加哥以西不到一小時的路程。它是CFE傳媒公司的總部,這是一家私營的小公司,出版《控制工程》和《谘詢指定工程師》等行業雜誌。
根據CFE的一封電子郵件,這名特工告訴員工,“高度老練人士”已經將一個惡意檔案上傳到“控制工程”的網站上。這名特工警告說,它可能被用來對他人發動敵對行動。
CFE傳媒公司的聯合創始人史蒂夫·魯爾克(Steve Rourke)說,他的公司采取了措施修複受影響的網站。不過,據埃森哲(Accenture)旗下部門和舊金山網絡安全公司RiskIQ的安全研究人員稱,不久之後,攻擊者就向CFE媒體公司的其他網站上傳了惡意程式。
就像獅子在水坑裡追逐獵物一樣,黑客跟蹤這些和其他行業網站的訪問者,希望抓住工程師和其他人,並滲透到他們工作的公司。RiskIQ研究人員Yonathan Klijnsma說,俄羅斯有可能扳倒“行業中的任何人”。
根據政府對攻擊的簡報和審查惡意代碼的安全專家的說法,攻擊者在網站上植入幾行代碼,就無形中從毫無戒心的訪問者那裡竊取了電腦用戶名和密碼。去年,國土安全官員在行業簡報中表示,這一策略使俄羅斯人能夠接觸到美國越來越敏感的系統。
全方位挖掘美國公司的維泰洛不知道黑客是如何進入他的電子郵件账戶的。他不記得訪問過CFE的網站,也不記得點擊受攻擊的電子郵件附件。儘管如此,據研究這起黑客事件的安全公司稱,此次攻擊是俄羅斯行動的一部分。
2017年3月2日,攻擊者利用維泰洛的账戶向客戶發送了大量電子郵件,目的是將收件人聚集到一個被黑客秘密接管的網站。
這封電子郵件通知收件人會下載到一份檔案,但後來什麽也沒有發生。收件人被邀請點擊一個鏈接,說他們可以“直接下載檔案”。他們設定了圈套,將收件人帶到了一個名叫Imageliners.com的網站上。
該網站當時由南卡羅來納州哥倫比亞(Columbia,S.C.)的網絡開發人員馬特·哈德森(Matt Hudson)注冊,最初的目的是讓人們找到做廣播配音的工作,但當時處於休眠狀態。哈德森說,他不知道俄羅斯人霸佔了他的網站。
郵件發出的當天——就在維泰洛辦公室的電話在俄勒岡州響起的同一天——上述網站上的訪問活動激增,來自300多個IP地址的電腦進行了訪問,而上個月一天只有幾台。許多人是黑客的潛在攻擊目標。
美國媒體的一項分析發現,大約90個IP地址(幫助電腦在互聯網上找到彼此的代碼)是在俄勒岡州注冊的。
目前尚不清楚受害者登陸被黑客控制的網站時看到了什麽。相關伺服器上的檔案表明,這些檔案可能會被顯示為Dropbox的偽造登錄頁面(Dropbox是一種基於雲的存儲服務,允許人們共享文檔和照片),目的是誘使他們交出用戶名和密碼。也有可能是黑客利用這個網站打開了進入訪客系統的後門,讓他們控制受害者的電腦。
當維泰洛意識到他的電子郵件被劫持後,他試圖警告他的聯繫人不要打開他的任何電子郵件附件。黑客封鎖了這條消息。
全方位挖掘美國公司是一家政府承包商,並與包括美國陸軍工程兵部隊在內的機構競標,該公司經營著數十個聯邦政府所有的水電設施。
大約兩周後,襲擊者再次利用維泰洛的账戶發送了大量電子郵件。
其中一個發送給了俄勒岡州林肯市的丹考夫曼挖掘公司,主題是:“請DocuSign簽署協定-資助項目。”
辦公室經理科琳娜·索耶(Corinna Sawyer)覺得措辭很奇怪,於是發電子郵件給維泰洛:“我剛收到你的郵件,我想你已經被黑了。”
控制維泰羅账戶的入侵者回應道:“是我發的。”
索耶仍心存疑慮,給維特洛打了電話。維特洛告訴她,這封電子郵件和之前那封一樣,都是假的。
襲擊蔓延。
其中一家收到虛假電子郵件的公司是位於俄勒岡州科瓦利斯的一家小型專業服務公司。據該公司老闆稱,那年7月,聯邦調查局(FBI)特工出現在公司,告訴員工他們的系統在一場針對能源公司的“廣泛攻擊行動”中遭到破壞。
3月2日,在收到維泰洛的第一封偽造電子郵件後,美國國土安全部的一份調查報告稱,科瓦利斯這家公司的一名員工點擊了通往被黑客控制的語音網站的鏈接,系統提示她輸入用戶名和密碼。
據美國媒體報導,當天結束時,這些網絡黑客就在她公司的網絡中。
然後,黑客破解了該公司防火牆中的一個門戶(防火牆的作用是將敏感的內部網絡與互聯網分隔開來),並創建了一個新的帳戶,具有廣泛的管理訪問權限,黑客的行動相當隱蔽。
“我們既不知道被攻擊,也沒有抓住攻擊者。”該公司的老闆說。
2017年6月,黑客使用上述科瓦利斯公司的系統進行狩獵。在接下來的一個月裡,他們幾十次使用土耳其、法國和荷蘭等國注冊的IP地址和電腦上訪問了俄勒岡公司的網絡,攻擊目標中至少包括6家能源公司。
在某些情況下,攻擊者只是簡單地研究新目標的網站,可能是為了未來的襲擊做準備。調查報告指出,在其他情況下,他們可能在受害者的系統中站穩腳跟。
據悉,其中兩個目標公司幫助軍隊在國內基地提供獨立的電力供應系統。
6月15日,俄羅斯黑客訪問了ReEnergy控股公司的網站。這家可再生能源公司建造了一座小型發電廠,即使民用電網崩潰,發電廠也能讓紐約州西部的德拉姆堡(FortDrum)軍事基地運轉。德拉姆堡駐扎著美國陸軍部署最頻繁的師之一,正在考慮成為一個36億美元的飛彈攔截系統的所在地,以讓美國東海岸避免受到洲際彈道飛彈的襲擊。
一位知情人士表示,私募股權投資公司Riverstone控制的ReEnergy遭到入侵,但其發電設施沒有受到影響。一位發言人說,軍方知道這一事件,但拒絕提供更多細節。
同一天,黑客開始攻擊大西洋電力公司的網站,該公司是一家獨立的發電企業,向加拿大八個州和兩個省的十幾家公用事業公司出售電力。報告稱,除了從該網站下載檔案外,攻擊者還訪問了該公司的虛擬專用網絡登錄頁面,即VPN,這是該公司電腦系統的網關,供遠程工作的人員使用。
大西洋電力公司在一份書面聲明中說,它經常遇到網絡惡意行為,但沒有對具體細節發表評論。“據我們所知,黑客從來沒有成功地破壞公司的任何系統,”該公司說。
6月28日午夜左右,黑客利用科瓦利斯公司的網絡與密歇根州一家名為DeVange建築公司(擁有20名員工)交換電子郵件。這些郵件似乎來自一位名叫裡克·哈裡斯(RickHarris)的員工——這是攻擊者偽造的一個角色。
DeVange建築公司的電腦系統可能已經被攻破。根據安全專家和美國媒體審查的電子郵件,尋求工業控制系統工作的人士(其實根本不存在)向能源公司提出的申請來自DeVange電子郵件地址,電子郵件還附上了偽造的簡歷,以誘騙收件人的電腦向被黑客攻擊的伺服器發送登錄資訊。
美國媒體指出,至少有三家公用事業公司收到了這些電子郵件:總部位於華盛頓的富蘭克林·PUD公司(Franklin PUD)、威斯康星州的戴蘭電力合作公司(Dairland Power Co.)和紐約州電力天然氣公司(New York State Electric??GasCorp.)。這三家公司都表示,他們知道相關黑客活動,但不認為自己是黑客活動的受害者。
DeVange建築公司的一名員工說,聯邦探員訪問了這家公司。該公司的所有者吉姆·貝爾(Jim Bell)拒絕談論這一事件。
當年6月30日,黑客試圖遠程訪問印第安納州的一家公司,該公司與ReEnergy一樣,在民用電網斷電時利用備份設備讓政府設施繼續運行。不過,印第安納州這家公司拒絕透露該公司是否遭到黑客攻擊,但表示該公司非常注重網絡安全。
該公司的網站上說,它的客戶之一是德特裡克堡軍事基地,這是在美國馬裡蘭州的一個陸軍基地,該基地有一個複雜的實驗室,基地的使命是保衛國家的生物武器。德特裡克堡軍方官員表示,他們認真對待網絡安全問題,但拒絕進一步置評。
隨著2017年夏季過去,攻擊者將目標對準了幫助公用事業公司管理其電腦控制系統的公司。7月1日,襲擊者利用科瓦利斯公司襲擊了兩家英國公司,即Severn控制有限公司和奧克蘭控制系統公司。接著,他們攻擊了西姆基斯控制系統有限公司(Simkis Control SystemsLtd.),該公司也位於英國,根據政府報告,攻擊者訪問了帳戶和控制系統的資訊。
西姆基斯的網站表示,該公司銷售的工具允許技術人員遠程訪問工業控制網絡。該公司的客戶包括大型電氣設備製造商和公用事業公司,包括在英國和美國部分地區運營輸電線路的全國性電網,該公司在紐約、羅德島和馬薩諸塞州擁有公用事業公司。
到了2017年秋天,黑客們回到了在俄勒岡州的丹考夫曼挖掘公司,他們在9月18日侵入了該公司的網絡。
據該公司稱,黑客似乎悄悄地潛伏了一個月。隨後,在10月18日晚,該公司大約2300名聯繫人收到了大量電子郵件。電子郵件稱“嗨,Dan用Dropbox和你共享一個檔案夾!”,郵件包含一個鏈接,上面寫著“查看檔案夾”。
這封電子郵件的收件人包括:跨州公用事業公司太平洋公司的員工、位於俄勒岡州波特蘭的博納維爾電力管理局(Bonneville Power Administration)和陸軍工程兵部隊(ArmyCorpsofEngineers),後者管理著西北太平洋75%的高壓輸電線路。
聯邦官員說,攻擊者想辦法彌合公用事業的企業網絡(連接到互聯網)和關鍵控制網絡(出於安全目的與網絡隔離)之間的鴻溝。
這些“橋梁”有時以“跳箱”的形式出現,所謂跳箱是一種讓技術人員在兩個系統之間移動的電腦。如果沒有很好的防禦,這些交界處可以讓網絡特工在護城河下面挖隧道。
在去年夏天給公用事業公司的簡報中,國土安全部工業控制系統網絡安全主管喬納森·荷馬(Jonathan Hmer)表示,俄羅斯人通過保護不力的跳箱滲透到公用事業的控制系統領域。他在一次簡報中說,襲擊者擁有“與技術人員一樣的合法權限”,並有能力采取暫時切斷電力等行動。
太平洋公司表示,它采取了多層次的風險管理方法,沒有受到任何攻擊活動的影響。
博納維爾電力管理局的的首席資訊安全官加裡·多德(Gary Dodd)說,他不認為自己所在的公用事業設施被破壞了,儘管它似乎收到了來自全方位挖掘美國公司和丹考夫曼公司的可疑電子郵件。“有可能有什麽東西進來了,但我真的不這麽認為,”他說。
美國陸軍工程兵部隊表示,它不會對網絡安全問題發表評論。
對外公開
美國政府在2017年10月的一份谘詢意見中警告公眾注意黑客活動。美國政府認為黑客攻擊和神秘組織有關係,該組織有時被稱為蜻蜓或“活力熊”,安全研究人員認為這些黑客組織和俄羅斯政府有關係。
2018年3月,美國更進一步,發布了一份報告,將敵對活動的責任歸咎於為俄羅斯政府工作的“網絡行為者”,稱他們自2016年3月以來一直十分活躍。一般而言,各國政府通常不會透露參與網絡攻擊的國家的名字,也不會洩露他們所知道的資訊。
2018年4月,美國聯邦調查局致函至少兩家公司,稱它們似乎收到了來自全方位挖掘美國公司的維泰洛的惡意電子郵件。
其中之一是華盛頓州裡奇菲爾德的商業承包商公司,該承包商幫助博納維爾電力管理局翻修了一間辦公室。該公司總裁埃裡克·錢恩(Eric Money)表示,員工們認為他們擋住了被攻擊或汙染的電子郵件。但美國媒體發現,在襲擊發生的當天,一台該公司IP地址的電腦訪問了被黑客控制的網站。
聯邦調查局通知的另一家公司——俄勒岡州蒂卡爾的卡爾森測試公司已經為包括波特蘭通用電氣公司、太平洋公司、西北天然氣公司和博納維爾電力管理局在內的公用事業公司開展工作。
總部位於加州的網絡安全公司賽門鐵克公司(Symantec Corp.)的安全響應技術總監維克拉姆·塔庫爾(Vikram Thakur)說,他的公司從其公用事業客戶和與其合作的其他安全公司那裡得知,至少有60家公用事業公司成為攻擊目標,包括一些美國以外的公用事業公司。他說,大約有20多家公司被最終攻破。
他補充說,黑客的滲透深度足以達到八家或更多的公用事業公司的工業控制系統。他拒絕透露他們的名字。
美國政府不確定有多少公用事業公司和供應商在俄羅斯的襲擊中受到損害。
俄勒岡州比弗頓的Vak建築工程服務公司(Vak Construction Engineering Services)總裁韋洛·科伊夫(Vello Koiv)說,他公司的某個人從一封被汙染的電子郵件中上鉤,但公司的電腦技術人員發現了這個問題,因此“這並不是一個全面的事件”。該公司為陸軍部隊、太平洋公司、邦納維爾和華盛頓州斯波坎的公用事業公司Avista Corp分包合約。Avista公司則表示,它不對網絡攻擊發表評論。
科伊夫說,他在2018年繼續收到被黑客攻擊的電子郵件。“不管他們是不是俄羅斯人,我都不知道。但仍有人試圖滲透到我們的伺服器中。”
去年秋天,全方位挖掘美國公司再次遭到黑客攻擊。
業內專家表示,俄羅斯黑客可能仍在一些系統內潛伏,未被發現,這些黑客等待進一步的命令。(騰訊科技審校/承曦)
香港九龍灣馬來街興發大廈15樓D室