工业网络安全厂商 Dragos 称,“Allanite”黑客组织一直针对英美两国各电力企业的业务与工业控制网络进行攻击。该公司还认为,该黑客组织与“蜻蜓Dragonfly”以及 Dymalloy 黑客组织的攻击活动有所关联。

  • 蜻蜓Dragonfly:又名 Energetic Bear(活力熊)、Crouching Yeti(蹲伏雪人),多家美国安全企业分析认为,该黑客组织来自俄罗斯。

  • Dymalloy 黑客组织曾设法入侵了位于土耳其、欧洲以及北美的多家工业控制系统厂商,并获得了对 HMI (即人机接口)设备的访问权限。Dymalloy 黑客组织与蜻蜓黑客组织并无关联(至少没有直接关联),二者使用的工具相似度较低。2017年以来 Dymalloy 较为低调,其或许有意避开媒体、安全研究人员的视线以方便活动。

Allanite 黑客组织攻击方式

Allanite 组织至少从2017年5月起一直保持活跃,并且不断开展各类入侵活动。其主要攻击目标为美国和英国电力企业的业务与 ICS 网络,以开展侦查行动和情报收集。

Dragos 公司指出,在美国国土安全部2017年10月发布的一份报告中将 Dragonfly 攻击与 Allanite 的活动联系起来,Allanite 的行动与美国国土安全部(DHS)在报告中对 Drangonfly 背后的 Palmetto Fusion 黑客组织所作出的描述非常相似。

尽管这些黑客组织在目标与技术手段方面高度相似,但 Dragos 公司认为 Allanite 与蜻蜓和 Dymalloy 仍有所不同。

Allanite 黑客组织利用网络钓鱼与水坑攻击获取目标网络的访问权限,该组织不使用任何恶意软件,而是依赖 Windows 中常见的合法工具来完成入侵。虽然美国政府及多家私营公司已经将 Allanite 活动与俄罗斯联系起来,但 Dragos 公司表示其尚未证实其具体归属。

已窃取到大量信息

2017年7月,美国政府官员在接受媒体采访时表示,Allanite 黑客组织并未成功接入运营网络。但经 Dragos 公司证实,Allanite 黑客组织确实直接从 ICS 网络当中收集到了大量的信息,只是截至目前尚未造成任何实际性的破坏或损害。该公司认为,恶意攻击者在成功入侵工业系统之后,能够获得大量可用于支持其破坏性攻击能力所需要的信息,并在合适时发动全面冲击。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。