核电站成APT暴击核心,官方确认:印度Kudankulam已感染朝鲜恶意软件
- 2019-10-31 20:52:47
【快讯】当地时间10月30日,印度核电公司(NuclearPower Corporation)证实,库丹库拉姆核电站(Kudankulam)确实感染了朝鲜政府资助的黑客组织创建的恶意软件。以针对“核电站”的国家级网络攻击,再次将我们的视线引导到网络战,同时它以“核”级别的高危性事件,加剧了维护关键信息系统国防大安全的紧迫性。
库丹库拉姆核电厂,又称Koodankulam NPP或KKNPP,是位于印度泰米尔纳德邦Kudankulam的最大核电站,该厂建设于2002年。
这一次,它成为国家级网络攻击“风暴”的核心。
10月28日,也就是本周一就有人在Twitter上发文称:Kudankulam核电站(KNPP)可能已经感染了危险的恶意软件。
但当时,KNPP的官员否认他们遭受了任何恶意软件感染,并于周二(10月29日)发表声明将这些推文描述为“虚假信息”,并称“对发电厂进行网络攻击是‘不可能的’ ”。
然而,仅一天时间,这一被官方称之为“虚假消息”的事件却被自己推翻。10月30日,KNPP的母公司NPCIL 在另一份声明中承认Kudankulam核电站确实感染了朝鲜政府资助的黑客组织创建的恶意软件。
不仅官方证实,印度国家技术研究组织(NTRO)的前安全分析师Pukhraj Singh也给出了实证,他指出最近在VirusTotal上传的样本实际上与KNPP上的恶意软件感染有关。同时,他还表示:特定的恶意软件样本,包括KNPP内部网络的硬编码凭据,这些证据表明该恶意软件经过专门编译以在电厂的IT网络内部传播和运行。
在进一步研究中,几位安全研究人员将该恶意软件识别为Dtrack的一种版本,Dtrack是由朝鲜精英黑客组织Lazarus Group开发的后门木马。值得注意的是,该恶意软件在今年9月4日前就已被发现其针对印度核电厂的网络攻击活动。当时名印度的威胁情报分析师Singh曾在Twitter上告知此事。
随即在9月23日,卡巴斯基发布了一则关于Dtrack的恶意代码报告,报告将DTrackmalware描述为可用于监视受害者和窃取感兴趣的数据,并称该恶意软件支持通常在远程访问木马(RAT)中实现的功能,有效负载可执行文件支持的一些功能列表如下:
从其功能可以明显看出,Dtrack通常用于侦察目的,并用作其他恶意软件有效载荷的投递器。
Dtrack隶属于拉撒路集团(Lazarus Group)。这是一家受朝鲜政府追捧的知名网络间谍组织。
拉撒路(Lazarus)小组又名APT-C-26,是从2009年以来一直处于活跃的APT组织。从历史上看,该小组主要以经济利益为目的,攻击金融等行业,并逐步对多个大型数字货币交易进行攻击渗透。如:
如今,这个有着国家级背景的黑客组织攻击对象再扩大从金融数字货币,转向能源和工业领域的目标。在网络战甚嚣尘上的当下,在国家能源基础设施成为网络战重点攻击对标的局势里,此次该组织将攻击矛盾指向印度最大的核电站,这仅仅只是如外文报道所说的追求专有知识产权么?
外文参考资料:
https://www.zdnet.com/article/confirmed-north-korean-malware-found-on-indian-nuclear-plants-network/
关于更多拉撒路(Lazarus)组织文章请查阅:
币圈预警!OKEX等数字资产交易平台沦为国家级APT黑客组织攻击目标
本文为国际安全智库作品
微信公众号:guoji-anquanzhiku
如需转载,请后台留言
欢迎分享朋友圈
关注“国际安全智库”公共号
了解更多国内外网络空间安全资讯