主攻關鍵基礎設施的十大黑客組織

電力、石油和天然氣以及大量人們日常生活所依賴的關鍵基礎設施所面臨的威脅正與日俱增，因為越來越多的黑客組織已經瞄準了關鍵基礎設施的工業控制系統(ICS)和運營技術(OT)網絡，試圖破壞或篡改重要業務流程。

網絡安全公司Dragos近日發布的一份報告詳細介紹了10個最活躍的攻擊關鍵基礎設施的黑客組織，這些組織的攻擊目標主要是北美和歐洲的工業系統。

報告指出，隨著越來越多的關鍵基礎設施連接到互聯網（77%的工控系統資產存在IT/OT邊界），通過遠程桌面協議（RDP）和VPN訪問關鍵基礎設施的員工數量也在增加，不斷擴大的攻擊面越來越多地成為國家黑客和網絡犯罪團伙的目標，他們興致勃勃地入侵和偵察OT網絡，目的是為將來的攻擊和破壞活動奠定基礎。

報告調查的關鍵基礎設施攻擊活動有著不同的目的，有些目標是竊取信息，而有些則是進一步攻擊的前奏，例如網絡犯罪分子謀劃發動勒索軟件攻擊。由于OT網絡的性質以及其對舊軟件和協議的依賴，任何入侵證據都可能被遺漏，這導致黑客有足夠的時間來移動、理解和控制網絡。報告指出，已經發現有六個勒索軟件（Cl0p、MegaCortex、Netfilim、LockerGoga、Maze和EKANS）內置了OT流程“終止清單”。

報告還警告說，自俄羅斯入侵烏克蘭以來，已經觀察到與針對工業基礎設施的網絡攻擊有關的活動，西方網絡安全機構已發出警告，稱需要加強對關鍵基礎設施的保護。

 十大“關基”黑客組織

報告給出了最活躍的攻擊關鍵基礎設施的十大黑客組織名單，其中包括幾個國家支持的黑客組織，例如與俄羅斯軍方有關的Electrum(也稱為Sandworm)、與朝鮮拉撒路集團有關的Covellite等，根據報告，這些組織的活躍度可能會在未來12個月內持續增長。名單那具體如下：

1.Parasite（寄生蟲）：一個針對歐洲、中東和北美的公用事業、航空航天和石油和天然氣的黑客組織。善于使用開源工具和已知漏洞進行初始訪問。Parasite被懷疑與伊朗有關。

2.Xenotime：一個以歐洲、美國和澳大利亞的石油和天然氣公司為目標的集團。據信該組織與俄羅斯有關。

3.Magnallium：一個最初針對沙特阿拉伯的石油、天然氣和飛機公司的集團，后來擴展到歐洲和北美。它被認為與國家資助的伊朗黑客組織APT 33有關。

4.Dymalloy：一個針對歐洲、土耳其和北美的電力、石油和天然氣以及其他先進工業實體的集團。Dymalloy被描述為“極具侵略性”，在網絡中尋求長期駐留，被認為與俄羅斯有關。

5.Electrum：該組織開發可修改和控制OT程序的惡意軟件，Dragos研究人員表示，其中一次攻擊是2016年12月對烏克蘭電網的惡意軟件攻擊(代號Crash Override，也稱為Industroyer)。Electrum與Sandworm相關，屬于俄羅斯GRU軍事情報機構的攻擊性黑客行動。

6.Allanite：一個以英國和美國電力行業的企業和OT網絡以及德國工業基礎設施為目標的黑客組織，并利用訪問權限對網絡進行偵察，以策劃未來的破壞性事件。人們相信Allanite與俄羅斯有關。

7.Chrysene：該組織至少從2017年開始活躍，以歐洲和中東的工業組織為目標，主要進行情報收集行動，以促進進一步的攻擊。Chrysense被懷疑與伊朗有關。

8.Kamacite：至少自2014年以來一直活躍的組織，據信對2015年和2016年對烏克蘭電力設施的網絡攻擊負責。該組織與Sandworm有關。

9. Covellite：一個使用網絡釣魚電子郵件中的惡意附件攻擊歐洲、美國和東亞的電力公司的組織。該組織被認為與拉撒路集團有關，后者是一個朝鮮黑客組織。

10.Vanadinite：一個針對全球工業組織面向外部的易受攻擊軟件（例如VPN網關），獲取訪問權限和駐留的黑客組織。