印度核电站确认其网络感染朝鲜恶意软件

关注 2019-10-31 10:25:51 查看数 9399 ,评论数 0 资讯


印度核电公司(NPCIL)确认,其Kudankulam核电站(KNPP)网络感染了朝鲜黑客的恶意软件。该消息最早是在Twitter上公布出来的。印度国家技术研究组织(NTRO)前安全分析师Pukhraj Singh指出,最近一次VirusTotal上传样本与KNPP的恶意软件感染有关联。该样本包含了KNPP内网的硬编码证书,这说明该恶意软件是特别为在核电站网络上传播、运行而汇编的。


恶意软件与Lazarus Group相关联

经多个安全研究人员确认,该恶意软件其实是由Lazarus Group开发的Dtrack恶意软件的一个版本。


Singh的推文之所以传播开来,是因为就在几天前该核电站出人意料地关闭了其中一个反应堆,很多用户就将两个不相干的事件联系到了一块儿。起初KNPP官员否认其受到任何恶意软件的感染,还发布了一个声明,描述其推文是假消息,并说对核电站展开网络攻击是绝无可能的。


但打脸就是突如其来,NKPP的母公司NPCIL在一份单独的声明中承认其系统发生了安全泄露、也感染了恶意软件,不过又称该恶意软件只感染其管理员网络,还没到达用于控制核电厂核反应堆的关键内网网络,还说这二者的网络是相互隔离的。此外NOCIL还证实了Singh在Twitter上的消息,并称其在9月4日、也就是恶意软件刚被发现时,就已经收到了印度CERT的通知。


根据卡巴斯基对Dtrack恶意软件的分析,该木马包含的特性有:键盘记录、检索浏览器历史记录、收集主机IP地址、可用网络核活动连接信息;列出所有正在运行的进程、列出所有可用磁盘上的所有文件。通过这些功能可以看出,该软件主要用于侦察目的,并为其他用于投递其他有效载荷,而且Dtrack样本通常出现在政治动机下的网络间谍活动核对银行的攻击中,用技术手段让此次事件更像是意外感染、而非精心计划的行动。


Lazarus Group一直被扣在朝鲜的头上,研究人员认为其是由朝鲜国家支持的黑客组织。该组织历史上来讲一贯很少针对能源核工业领域目标,而是将精力放在了深入了解外交关系、追踪逃离朝鲜的本国公民或黑客我入侵银行和加密货币交易。回顾一下该组织的行动,最早是2009至2012年的特洛伊行动、利用DDoS技术来针对韩国政府;2004年攻击过Sony Pictures;2015年时其据报道从厄瓜多尔的Banco del Austro银行盗窃了1200万美元、从越南的天丰银行窃取了100万美元,此外还针对过波兰和墨西哥的银行;2016年成功窃取孟加拉银行8100万美元;2017年从台湾远东国际银行窃取了不明金额的资金、还有让人闻风丧胆的WannaCry攻击。


不得不说,现在的黑客越来越手眼通天了,黑核电站这个概念可比打开家中的煤气阀要危险的多啊。真想告诉各路神仙、大兄弟一句:猥琐发育,别浪。

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...