官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 资讯

Bleeping Computer 网站披露，美国政府起诉了四名俄罗斯政府雇员，指控他们在 2012 年至 2018 年间，参与对全球能源领域数百家公司和组织的网络攻击活动。

美国司法部周四公布了两份来自 2021 年 6 月和 8 月的起诉书，披露出受指控对象分别是俄罗斯联邦中央化学和机械科学研究所（TsNIIKhM）的一名雇员和俄罗斯联邦安全局（FSB）的三名官员。

根据美国司法部的说法，针对能源行业的黑客攻击涉及大约 135 个国家，数百个公司和组织，其中数千台计算机遭受了网络攻击。

四名俄罗斯政府雇员被起诉

根据 2021 年 6 月份的起诉书来看，受雇于 TsNIIKhM 的计算机程序员 Evgeny Viktorovich Gladkikh 和同谋，在 2017 年 5 月至 9 月期间，对中东地区一家炼油厂发动了网络攻击，导致该厂基础设施两次紧急关闭。

此次网络攻击中，他们成功入侵炼油厂系统后，在炼油厂使用的施耐德电气 Triconex Tricon PLC 上安装Triton 或 Trisis 恶意软件。恶意软件通过修改内存中的固件感染 Triconex Tricon PLC，使得攻击者能够添加额外编程，远程控制被攻击的系统。

起诉书还披露，在 2018 年 2 月至 7 月期间，该团伙曾试图入侵美国一家炼油厂的控制系统。

2021 年 8 月的起诉书，Pavel Aleksandrovich Akulov、Mikhail Mikhailovich Gavrilov 和 Marat Valeryevich Tyukov 名字被披露，据悉，他们属于 FSB 71330 军事单位或“16 中心”。

下图是四名俄罗斯政府雇员的照片：

FSB“蜻蜓”黑客活动

从起诉书内容来看，2012 年至 2017 年期间，披露的三名 FSB 雇员及其团队是多次供应链攻击的幕后黑手。他们多以石油和天然气公司、核电站，以及公用事业和电力传输公司等能源部门为目标，对其 ICS 或监控和数据采集（SCADA）系统进行渗透。

2012 年和 2014 年之间，在一次被称为“蜻蜓”或“Havex”攻击活动中，该团伙渗透到多个 ICS/SCADA 系统制造商和软件供应商网络中，并用 Havex 远程访问木马（RAT），感染合法软件，再加上后来使用的鱼叉式攻击和 "灌水 "攻击，他们用恶意软件感染美国和世界各地约 17000 多台设备。

2014年 至 2017 年期间，该团伙开始转向使用鱼叉式攻击，对包括美国核管理委员会等政府机构在内的500 多家美国和国际实体展开网络攻击。

美国司法部副部长丽莎·奥·摩纳哥表示：尽管今天公布的指控反映了过去的活动，但清楚地表明，美国企业迫切需要加强自身网络防御，时刻警醒网络攻击。

值得一提的是，美国国务院最高悬赏 1000 万美元，寻找任何可能针对美国关键基础设施攻击的线索。

参考文章：

https://www.bleepingcomputer.com/news/security/us-charges-4-russian-govt-employees-with-critical-infrastructure-hacks/