国外又说我们臭搞网安的操控舆情了,点名某国内安全公司,对我们来说,也是新的就业机会.....
买手作产品,送精品安全学习资源,有需要联系教父微信,购买后拉群
目前手作资源群已更新到1T+资源,包含资料和课程
资料区
课程区
汽车部件安全测试
比特币密码破解研究
最新CISSP题库
国外经典攻防案例场景方案
安全审计资料(甲方必备)
AI结合网络安全进行流量监测
APT免杀
应急响应资料
欧盟数据安全认证(甲方必备)
高级免杀资料
智能设备攻击新型手法
NIST2.0框架落地(甲方必备)
工业安全渗透测试
Devops
数字取证
EDR绕过
仅列举部分资料(机翻),完整版可购买手作资源获取
TikTok
美国政府已禁止在政府手机上使用 TikTok,但这并不能阻止政府员工的个人设备使用。这款应用之所以成为世界上最受欢迎的应用,是有原因的。它很容易上瘾,使用起来也很有趣。有如此多的军人使用它,以至于整个社区都被称为TikTok 上有一个应用,名为“MilTok”,分享身穿制服的士兵开机关枪、随着当时流行的 meme 音乐跳舞的搞笑视频。
在2022 年 3 月 21 日,一名俄罗斯同情者发现几辆装甲车停在基辅一家购物中心的一角。他在 TikTok 上发布了一段视频,不久之后,购物中心就遭到袭击。显示了总损坏的一小部分。这是战争早期的教训之一——俄罗斯情报部门密切监视有争议地区的社交媒体和手机传输。
接下来发生的事情也发人深省。乌克兰军事情报机构 GUR 对为该购物中心提供服务的手机信号塔进行了调查,统计了所有数字,将范围缩小到三个可能,并通过几家在 TikTok、Telegram 和其他社交媒体上投放广告的广告技术公司订阅了这些数据。几分钟内,它就确定了肇事者——一名白俄罗斯居民——并派出一支队伍跟踪并抓捕了他,他使用手机作为自己位置的信标
F3EAD
作为前面的 TikTok 示例表明,智能手机及其上安装的应用程序,尤其是社交媒体应用程序,被用于针对战斗人员,作为“查找、修复、完成、利用、分析和传播”方法的一部分。24 F3EAD可以追溯到 2010 年在伊拉克的作战行动,当时特种作战部队小组会追捕针对高调目标 (HPT),一旦发现,就杀死或捕获他们,并收集便携式硬盘、笔记本电脑、手机等,以供利用和分析,然后传播调查结果,以便更好地为针对下一个 HPT 的下一次行动提供信息。所有这些都是在敌人反应速度之前完成的,从而使敌人永远处于守势。
从 2022 年至今,在俄乌战争中,乌克兰特种部队在 GUR 网络运营商的协助下,利用 Telegram 和 VK 等俄罗斯热门社交媒体平台寻找目标。他们会将面部识别软件应用于用户发布的照片,以破解他们的匿名性,并补充从商业数据代理商那里获取的信息,然后使用该应用程序对移动设备定位服务功能的访问权限实时跟踪他们。许多应用程序在启用该功能时效果最佳。
一旦确定了目标的大致位置,就会发射一架监视无人机来目视确认目标的身份,并根据地形和其他条件,决定捕获或杀死 HPT,并收集其持有的任何电子硬件进行分析。
一个例子是俄罗斯联邦安全局第 607 支队所遭遇的情况,该支队隶属于俄罗斯内务部第 6762 部队,驻扎在俄罗斯南部北高加索地区斯塔夫罗波尔边疆区的热列兹诺沃茨克市。
多年来,该部队一直致力于镇压骚乱、打击恐怖主义,并参与俄罗斯的领土防御。
为GUR 能够访问 607 和 6762 部队的人事档案,包括电子邮件地址和手机号码等联系信息。这些信息后来被用来追踪他们的位置,并派遣 GUR 特种作战部队小组参与行动。行动成功后,该小组带回了一台经过严格加固和加密的 FSB 笔记本电脑(见图5-10和5-11)。
该笔记本电脑由俄罗斯公司 TS Computers 制造,该公司专门生产高度可定制的超安全工业笔记本电脑。
可移动硬盘有密码保护,但一名为 GUR 组建进攻网络部队的乌克兰黑客最终破解了密码。从硬盘中提取的信息被发送给分析师,分析师的调查结果被传递给负责规划的官员运营。
Aurora 发电机测试
一就本章与我交谈过的工程师之一当时在国土安全部的控制系统安全计划部门,他在演习结束后向一群电力资产所有者做了一次演讲,并在演讲中写下了以下定义。该演讲是根据《信息自由法》的要求由新闻网站发布的泥石流。4
Aurora 是指恶意使用保护继电器或其他数字保护和控制设备造成不同步情况,从而对旋转设备造成物理损坏。保护电路的突然打开和关闭会改变继电器的行为,使其从提供最大保护变为造成最大损坏。
在包含该定义的国土安全部演示文稿中,小字体的声明进一步解释说:“Aurora 的独特之处在于,异常情况可能是通过网络攻击引起的。”
看到一台 27 吨重、大小相当于一个 40 英尺集装箱的柴油发电机经历一系列剧烈震动,最后喷出大量灰黑色烟雾,这真是令人恐惧,因为在 Aurora 出现之前,最令人担忧的网络攻击主要集中在窃取数据或窃取资金上。5
即使在这种情况下,影响电网也意味着导致发电能力中断,而不是引起爆炸、火灾或其他动能效应。极光飓风过后,很明显,网络攻击可能会以我们无法防御的方式影响关键基础设施。而且受到威胁的不仅仅是电网。任何使用数字保护继电器和可编程逻辑控制器的设备(换句话说,几乎所有自动化设备)都会受到影响。
如果设计包含更好的冗余,许多针对关键系统的成功攻击(包括本章中的一些示例)都可以避免。
这项实验启发了进一步的开发和测试,看看自动化系统(例如控制核浓缩设施离心机旋转的系统)的破坏会带来什么结果。更具体地说,著名的Stuxnet 攻击2010年和2011年,伊朗纳坦兹铀浓缩设施导致1,000至2,000台离心机被毁。
尽管 Stuxnet 病毒给伊朗造成了一些时间和金钱损失,但它可能并未对该国的铀浓缩计划产生预期的效果。外交政策撰稿人特里塔·帕西 (Trita Parsi) 报道称,从 2008 年到 2013 年,“伊朗的低浓缩铀 (LEU) 库存从 839 公斤增加到 8,271 公斤——几乎是奥巴马政府用来衡量伊朗距离核弹较近程度的变量的十倍。” 6
科学与国际安全研究所关于震网有效性的报告从破坏目标的角度对其进行了分析:“如果震网的目标是摧毁燃料浓缩厂 (FEP) 的所有离心机,那么震网就失败了。但如果其目标是摧毁数量有限的离心机,并阻止伊朗操作 FEP,同时使恶意软件难以被检测到,那么它可能至少在一段时间内是成功的。”
尽管美国和以色列均未正式宣布对 Stuxnet 负责,但人们普遍认为这两个国家都应对此负责。而且 Stuxnet 实验中使用的代码并非只有 30 行,而是数百行。
震网事件发生后,纳坦兹仍然是以色列政府的热门目标,尤其是当 OCO 能够实现动能攻击时效果。
伊朗离心机组装中心
在2020年7月1日,以色列的网络攻击导致纳坦兹一座新的离心机生产设施发生火灾和爆炸。以色列称,此次活动是对伊朗先前发动的网络攻击的回应,伊朗意图将以色列的水源中的氯含量提高到危险的高水平。
这栋建筑是伊朗离心机组装中心。该建筑于 2012 年开始建设,当时正值震网爆发后不久。这座新设施耗时六年建成,旨在组装先进离心机的转子。
火灾和随后的爆炸造成的损害无法修复,9 月 8 日,伊朗宣布将在纳坦兹核电站附近的深山中建造一座新的、更大的设施。(火灾前后的照片见图 6-1和6-2 ,新隧道综合体见图 6-3。)截至 2023 年 5 月,新设施仍在建设中。
地下燃料浓缩厂
在2021年4月11日,纳坦兹再次遭到以色列。《纽约时报》报道称,“爆炸是由一场大爆炸引起的,爆炸彻底摧毁了独立的、受到严密保护的内部电力系统,该系统为浓缩铀的地下离心机供电。”
据《耶路撒冷邮报》报道,伊朗原子能组织最初将此次袭击报告为核设施电力分配网络的“事故”,但该国核能负责人阿里·阿克巴尔·萨利希 (Ali Akbar Salehi) 随后证实,该事件是一次网络攻击。
以色列一如既往地否认对此负责,尽管以色列情报机构摩萨德前负责人丹尼·亚托姆表示,他担心如果该国是此次袭击的幕后黑手,信息可能会泄露。
“如果这件事确实是以色列行动的结果,那么这次泄密就非常严重了,”亚托姆在《华盛顿邮报》上表示。“这不利于以色列的利益,也不利于打击伊朗获取核武器的企图。有些行动必须保密。”
“一旦以色列官员被引述,就会迫使伊朗人采取报复行动,”亚托姆警告说。“如果伊朗人开始调查袭击背后的人是以色列人还是美国人,他们就会不遗余力。这会对我们的作战能力产生影响。”
俄罗斯天然气工业股份公司
这乌克兰国防部情报总局(GUR)相当于俄罗斯的GRU。9这两个情报部门都有黑客开展各种类型的行动。
尽管GUR 自 1992 年就已存在,但其网络攻击团队是最近才加入的,由几名曾在乌克兰政府其他安全部门工作的经验丰富的黑客于 2013 年组建。根据他们长期接触俄罗斯资产的历史,他们知道导致乌克兰局势日益恶化的动乱2013 年 11 月的欧洲广场抗议活动,以及最终的2014 年 2 月的 Maidan 革命将导致俄罗斯的报复。事实上,这是乌克兰与俄罗斯战争的开始,截至撰写本文时,这场战争已持续了 10 年。据为本书提供咨询的黑客称,俄罗斯能源跨国公司 Gazprom 及其子公司的网络被 GUR 黑客攻击了大约同样长的时间。
他们首先收集该公司供应链的信息,通过网络钓鱼获取供应商的访问权限,然后利用该可信访问权限对俄罗斯天然气工业股份公司的一个组织进行网络钓鱼,进入内部后,开始绘制网络图并窃取数据。
利用这一机会,乌克兰的小团队(几乎没有资金,但经验丰富,包括在以色列摩萨德工作过一段时间)策划了对俄罗斯天然气工业股份公司管道加压控制装置的入侵,导致管道破裂,从而引发爆炸和火灾。
到目前为止,已有三条管道发生破裂事件,这些事件直接由计算机网络攻击造成;下文将详细介绍。在此之前,曾对实时管道系统进行过多次练习,结果好坏参半。10与国土安全部的 Aurora 发电机测试实验不同,后者需要花费 200 万美元建造一个测试站点来进行实验,而 GUR 黑客则在真实管道上测试他们的方法,直到成功为止。乌克兰政府的成本是多少?零。
俄罗斯天然气工业股份公司 Sartransneftegaz 管道
这2022 年 4 月 1 日,两架乌克兰直升机袭击俄罗斯别尔哥罗德的一个石油库后,网络行动随即启动(见图6-4)。11
4月3日,据俄罗斯新闻社报道, “萨尔特兰斯石油天然气股份公司的员工在通往萨哈共和国(雅库特)韦尔赫涅维柳伊斯克村的天然气管道入口处,发现从AGDS至GRP-1的高压天然气管道发生地下天然气泄漏”。
顺便提一下,雅库特也是俄罗斯太空部队的一个部门所在地,其职责包括“为军事目的对人造地球卫星进行雷达跟踪”。太空部队后来成为另一个值得关注的目标,至少从其对乌克兰盟友的间谍价值来看,他们自己的太空部队正在发展中。
俄罗斯天然气工业股份公司乌连戈伊中心 2 号管道
在2022 年 4 月 4 日,一次网络攻击导致乌连戈伊-中心 2 号主天然气管道一段破裂,导致俄罗斯卡马州马特韦沃村附近利斯文斯基区发生大火。一名目击者在很远的地方拍摄了大火的画面,并将其发布在VK上,这是俄罗斯的 Facebook 版本(见图6-5 )。当地报纸AiF-Prikamye报道了这一事件。
俄罗斯天然气工业股份公司乌连戈伊管道
这俄罗斯天然气工业股份公司最成功的一次火灾发生在 2022 年 6 月 16 日(见图6-6),地点是俄罗斯天然气工业股份公司位于亚马尔-涅涅茨地区的乌连戈伊气田。它是世界第二大气田,也是俄罗斯最大的气田。
此次攻击的计划包括了解供应商是谁,并在必要时获取其各自网络的访问权限(见图6-8)。
根据我对一位参与策划和执行此次攻击以及之前攻击的网络操作员的采访,他的团队在网络侦察阶段发现,天然气管道数据通信网络的一个关键部分从未连接,而当管道在可接受的条件之外运行时,该部分会发出警报。
图 6-7中的示意图是乌连戈伊天然气联合循环 (NGCC) 工厂更新的 30 页数据通信计划的一部分两侧的“X”表明,在此次更新时(2011年),安全警报器尚未工作,在2020年俄罗斯天然气工业股份公司寻找新供应商完成工作时,以及发生爆炸的那一周,警报器也尚未连接。
图 6-8显示了 NGCC 中使用的七页设备之一。国外制造商包括思科、戴尔、惠普、Citect、Acronis 和微软。Citect 生产监控和数据采集产品,于 2008 年被施耐德电气收购。Acronis 生产备份、灾难恢复、网络安全和端点管理解决方案。
当攻击者能够访问此级别的信息时,不难找到已知的漏洞进行利用,或构建和测试实现预期效果的方法,尤其是在软件尚未修补或供应商用盗版软件替代正版软件的情况下。
供应商 Stroyneftegaz Alliance (SNG Alliance) 的代理2017 年申请破产的 SNG Alliance 被新乌连戈伊天然气化工综合体起诉,2020 年 3 月 12 日,法院裁定 SNG Alliance 尚未完成其已付款的许多合同项目,金额达数十亿卢布。14
未完成的作品包括:15
-
“工程技术防护手段和反恐保护手段综合体(DOAO‘Gazprojectengineering’的设计者)”
-
“控制室(标题 401/080),带有实验室的行政大楼(标题 401/080-1)”
-
“行政及休闲区工程网络、自动化消防系统”
2020 年 1 月 22 日,俄罗斯天然气工业股份公司宣布招标:
-
“为满足 Gazprom dobycha Urengoy 有限责任公司的需求,对乌连戈伊油气凝析气田 7、8、9、10、12、13、15 号综合气体处理设施增压压缩机站(一级)和 1、2、4、9、10、11、12 号综合气体处理设施增压压缩机站(二级)进行交钥匙工程(0001/19/1. 1/0101853 / Durengoy/K/STATE/e/20.12.2019)—1 551 051 576.00 卢布。”
-
“2020-2021 年为满足 Gazprom dobycha Urengoy LLC 的需求对火灾报警系统进行重大维修(针对中小型企业)编号 0095/19/5。1/0097185 / Durengoy / PR/STATE/e/11.12.2019 - 43 726 275.89 卢布。”
供应商无能和腐败事件并非俄罗斯的个例。此类事件发生得太频繁了,而且发生在各行各业,包括航天、能源、金融和国防。
乌克兰的腐败文化助长了利用网络手段进行破坏的行为,例如 GUR 黑客对 Gazprom 最大工厂进行的破坏,包括乌连戈伊亚马尔-涅涅茨地区、乌连戈伊卡马地区的爆炸和雅库特的天然气泄漏。而阻止此类攻击更频繁、更大规模发生的唯一原因,不是操作的技术难度,也不是 Gazprom 改进了其网络防御。这完全归功于乌克兰领导层的克制。GUR 团队正在考虑的一个选项是开发一种可扩展的攻击,同时攻击 Gazprom 所有管道;然而,高层领导认为这太过煽动,乌克兰的盟友很可能会认为这过于激进。挑衅的。
俄罗斯联邦国防部第二中央研究院
在2022 年 4 月 21 日,位于特维尔的这座绝密研究设施发生火灾和爆炸(见图6-9 ),该设施是伊斯坎德尔导弹和 S-400 导弹的设计基地,导致建筑物完全被毁,造成 6 人死亡,27 人受伤。俄罗斯国家通讯社塔斯社报道称,火灾原因可能是由于线路故障导致的故障。
据知情人士透露,这是一次网络/特种部队联合行动,突击队秘密进入建筑物放置炸药,以对建筑物造成最大程度的破坏。爆炸的起因是网络小组引起的电气火灾。
这种组合方法为突击队员提供了战术优势,当火势开始并且炸药引爆时,他们可能已经在前往下一个目标的途中了。例如,位于俄罗斯伊万诺沃州基涅什马的德米特里耶夫斯基化工厂,距离特维尔约七小时车程(见图6-10),第二天被大火摧毁。
这并不是说两起火灾都是由网络/物理攻击引起的,但根据新闻报道,第二起火灾肯定被视为可疑。莫斯科面临的许多问题之一是区分破坏行为与可能是由于基础设施维护不善而引发的数百起火灾之一。
胡泽斯坦钢铁公司
在2022 年 6 月 27 日,Gonjeshke Darande(又名 Predatory Sparrow)威胁行为者对三家伊朗钢铁公司进行了一系列网络攻击,窃取了敏感数据,在对胡泽斯坦钢铁公司的攻击中,他们通过访问控制该工厂电弧炉和钢包炉的监控和数据采集系统,引发了一场火灾(见图6-11 )。Predatory Sparrow 的Telegram和X(以前称为 Twitter)频道宣布了这次攻击;还上传了两段火灾视频以及价值数 GB 的电子邮件和敏感文件。
原文始发于微信公众号(教父爱分享):俄乌国际战争中,关于黑客信息战的分析研究
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论