揭秘美国电网承包商攻击事件

admin 2023年1月3日12:09:05评论28 views字数 1554阅读5分10秒阅读模式

美国电网承包商攻击事件

2018年,《华尔街日报》的文章指出,攻击者试图渗透美国至少24个州乃至加拿大和英国的电网,数百家小型承包商受到攻击,其中不乏为美军提供紧急电力控制系统的企业。攻击者须繁攻击美国电力控制系统,很多攻击并不是正而入侵,而是把目标对准了防护措施更薄弱的电网承包商们。

《华尔街日报》通过对文件、计算机记录、相关公司职工、政府官员等的调查采访,详细描述了-场影响广泛的攻击事件。

2017年3月,俄勒冈州建筑公司“全方位挖掘美国公司”(全方位挖掘美国公司是一家政府承包商,并与包括美国陆军工程兵部队在内的机构竞标,该公司经营浴数十个联邦政府所有的水电设施)的一名员工迈克 .维泰罗被客户告知,客户收到了一封他发来的奇怪的邮件,因此,他发现其所邮件都被捕获且其账号、密码已经泄露。

本次事件引发了美国联邦调查局(FBI)和国士安全部的联合行动,开线追溯攻击者的行动步骤。原来早在2016年夏天,美国情报官员就发现了,客攻击的迹象。在2016年12月,联邦调查局通过一一封邮件,发现CFE媒公司(这是一家私营的小公司,出版(控制工程》和《咨询指定工程师)等行业杂志)的网站被攻击者上传了恶意程序。虽然CFE传媒公司已经采物措施修复受感染的网站,但管理咨询公司埃森哲和网络安全公司RiskIQ友示,不久之后,攻击者就向CFE传媒公司的其他网站上又上传了恶意程序,攻击者利用恶意程序,跟踪网站的访问者,捕获工程师这类人,并渗透到他们工作的公司中。后来,安全专家发现,攻击者可以通过在网站上植入几行代码,从访问者那里获取计算机的用户名和密码。

通过对CFE传媒公司的攻击,攻击者成功获取了迈克●维泰洛的电子邮箱账号,在2017年3月2日当天,攻击者利用控制的账号向其客户发送了大量钓鱼邮件,目的是将收件人聚集到一个被秘密接管的网站,这封电子邮件通知收件人下载一份文件。当迈克.维泰洛意识到他的电子邮箱被劫持后,他试图警告他的联系人不要打开他发送的任何电子邮件附件,但攻击者封锁了这条消息。大约两周后,攻击者再次利用迈克.维泰洛的账号发送了大量电子邮件.在这些广泛的攻击中,位于俄勒冈州科瓦利斯的一家小型专业服务公司就被成功攻击,其一名员工打开了邮件,进入被攻击者控制的网站,输入了自己的用户名和密码。然后,攻击者破解了该公司防火墙中的一个门户,并创建了一个具有广泛的管理访问权限的新账号.2017年6月,攻击者使用上述服务公司的系统进行狩猎。在接下来的一个月里,他们几十次使用在土耳其、法国和荷兰等国注册的IP地址和计算机访向了俄勒冈州多家公司的网络,攻击目标至少包括6家能源公司。

同一天,攻击者开始攻击大西洋电力公司的网站,该公司是一家独立的发电企业,向加拿大八个州和两个省的十几家公用事业公司出售电力.除了从该网站下载文件,攻击者还动间了该公间的虚拟用网络登承员面,即VPN,这是该公司计算机系统的网关,供工作人员远程使用。

2017年7月,攻击者通过科瓦利斯的-家小型专业服务公司攻击了三家英国公司。当年秋天,攻击者重回此前已遭到入侵的俄亥做州丹.考夫曼挖掘公司(Dan Kauffman Excavating),用相同的手段向该公司大约2300名联系人发送邮件。

在发现此类攻击后,在2017年10月的份咨询意见中告知公众注意黑客活动,并将其归咎于某APT组织,该组织被称为“蜻蜓”(Dragonfy)或“能量熊”(Energetic Bear)。攻击者不是正面攻击公用事业公司,而是攻击不受保护的数以百计的承包商和分包商。该计划的成功,与其说是因为它的技术能力,不如说是因为它借助模仿和欺骗,利用了可信任的业务关系,从整个供应链入手进行攻击。

揭秘美国电网承包商攻击事件

揭秘美国电网承包商攻击事件


原文始发于微信公众号(威胁情报捕获与分析):揭秘美国电网承包商攻击事件

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月3日12:09:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   揭秘美国电网承包商攻击事件http://cn-sec.com/archives/1485852.html

发表评论

匿名网友 填写信息