核能行业的网络安全：不必恐慌

来源：Greg Dunlap

关键要点

国家媒体最近对美国核能子行业的网络攻击事件引发恐慌，但实际情况远不是令人恐慌的“天要塌下来了”。攻击者被认为是俄罗斯的高级持续威胁APT组织，使用的是已经存在已久但经过改进的技术。大部分攻击都是潜伏性的，且没有造成明显的影响。尽管目前没有已知的美国能源部门的系统被攻陷，但这并不意味着安全隐患已消失。

媒体的恐慌

国家媒体通过 劲爆头条 宣称美国核能子行业遭到黑客攻击，造成了自我制造的恐慌。媒体缺乏必要的背景和理解，让这一事件成为又一次“天要塌下来了”的网络事件。核电操作网络被攻陷与前台员工点击网络钓鱼邮件并感染计算机是完全不同的事情，事实是前台受到了攻击。

梯子大全vp-n

我可以详细论述媒体发布的 特权共享政府/私营部门信息 的不当性，这一信息的泄露不仅带有识别信息，甚至受到受影响地点的第三方承包商的确认！虽然不清楚这位承包商服务了多少核电客户，但希望厂经理能用钱包来投票。不过我扯远了

智慧超常

事件的幕后黑手被认为是俄罗斯的 ANERGETIC BEAR又名 DRAGONFLY、CROUCHING YETI高级持续威胁组织，他们使用曾经存在的旧技术和新获取的工具CIA被盗的 ETERNAL BLUE/SMB 访问工具，用于情报收集和潜在的破坏。

自2011年以来，ENERGETIC BEAR 进行了一场 隐秘且持久的campaign，只有极少数的情况下干扰了目标网络，大部分恶意软件保持沉默和非活动状态。由于这一方法，RAT远程访问木马主要针对能源和制药行业进行侦查和网络映射。此外，RAT携带的附加负载可以进行凭证收集，使攻击者以合法用户身份登录网络，增加了检测和预防的难度。

野餐篮子里的东西

ENERGETIC BEAR 自2011年起在运作，他们的主要工具是远程访问木马RAT。RAT 恶意软件为攻击者提供持久的访问权限和受控计算机的控制权，这种权限可用于侦查或潜在的网络和设备破坏例如2015年和2016年的乌克兰。ENERGETIC BEAR 的代表作 RAT 是 OLDREA， 又称 HAVEX。

HAVEX 能够收集系统信息，包括文件列表、已安装程序和可用驱动器的根目录。它还会提取计算机的 Outlook 地址簿和 VPN 配置文件中的数据。这些数据在以加密格式写入临时文件后，再发送到攻击者控制的远程指挥和控制CampC服务器。(出自 SYMANTEC)

HAVEX 是定制的恶意软件，可能是该组织自行编写或为其创建的。ENERGETIC BEAR 将商业可用的恶意软件与自定义代码结合使用，因为这一组合，很难确定对手的构成、资助来源或规模。HAVEX 和 BLACKENERGY用于2015年和2016年的乌克兰模糊了国家赞助的间谍活动与犯罪行为的界限，增加了归属的复杂性。

ENERGET