昨天我们报道了:
印度库丹库拉姆Kudankulam核电厂被称网络攻击,官方:假的!
但是!
印度核电公司[Nuclear Power Corporation](NPCIL)今天证实,印度核电站之一Kudankulam核电站(KNPP)网络的确感染了朝鲜政府资助的黑客创建的恶意软件。
有消息称,Kudankulam核电站(KNPP)可能已经感染了危险的恶意软件,该则消息最初于周一在Twitter上露面。
印度国家技术研究组织(NTRO)的前安全分析师Pukhraj Singh指出,最近VirusTotal上传实际上与KNPP上的恶意软件感染有关。
特定的恶意软件样本包括KNPP内部网络的硬编码凭据,这表明该恶意软件经过专门编译以在电厂的IT网络内部传播和运行。
与朝鲜拉撒路集团有关的恶意软件
几位安全研究人员将该恶意软件识别为Dtrack的一种版本,Dtrack是由朝鲜精英黑客组织Lazarus Group开发的后门木马。
辛格(Singh)的推文和启示立即传播开来,因为就在几天前,同一发电厂意外关闭了其一座反应堆,许多用户将这两个无关的事件混为一谈。
最初,KNPP官员否认他们遭受了任何恶意软件感染,发表声明将这些推文描述为“虚假信息”,并且对发电厂进行网络攻击是“不可能的”。
但是今天,KNPP的母公司NPCIL在另一份声明中承认存在安全漏洞。
声明开始说:“ NPCIL系统中的恶意软件识别是正确的。”
NPCIL表示,该恶意软件仅感染了其管理网络,但未到达其关键的内部网络,该内部网络用于控制电厂的核反应堆。NPCIL说这两个网络是孤立的。
此外,NPCIL确认了Singh在Twitter上的发言;他们在9月4日首次发现该恶意软件时就收到了来自CERT印度的通知,并且他们在报告时已对此事进行了调查。
其实没什么大不了的
根据俄罗斯反病毒制造商卡巴斯基对Dtrack恶意软件的分析,该木马具有以下功能:
-
键盘记录
-
检索浏览器历史记录,
-
收集主机IP地址,有关可用网络和活动连接的信息,
-
列出所有正在运行的进程,
-
列出所有可用磁盘卷上的所有文件。
从其功能可以明显看出,Dtrack通常用于侦察目的,并用作其他恶意软件有效载荷的投递器。
以前的Dtrack样本通常出现在出于政治动机的网络间谍活动和对银行的攻击中-上个月也发现了自定义版本的Dtrack,名为AMTDtrack。
从历史上看,拉撒路(Lazarus)小组或任何其他朝鲜黑客组织很少追赶能源和工业领域的目标。当他们这样做时,他们追求的是专有知识产权,而不是破坏。
感染流程,最终将数据发送到攻击者的控制服务器
朝鲜大部分的进攻性黑客努力都集中在深入了解外交关系,追踪逃离朝鲜的前朝鲜公民,或黑客入侵银行和加密货币交易所为平壤政权筹集资金以为其武器和导弹计划筹集资金。
消息回顾:
WannaCry和Sony被黑背后的朝鲜APT组织及另2黑客组织被美国制裁
KNPP事件看起来更像是意外感染,而不是精心计划的攻击。自卡巴斯基上个月报道说,拉撒路集团已经发现在印度分布Dtrack和AMDtrack版本以瞄准其金融部门以来,情况似乎说的通了。
回顾:在印度发现朝鲜的新型针对ATM的恶意软件
朝鲜黑客已经开发出一种新型恶意软件,并已被观察到,该恶意软件可以植入ATM系统,并用于记录和窃取插入机器中的支付卡中的数据。
卡巴斯基专家在今天发布的一份报告中表示,自2018年夏末以来,这种名为ATMDtrack的新恶意软件已在印度银行网络中发现。
较新的攻击方式还针对印度研究中心,提供了功能更强大和扩展性更高的同一恶意软件版本,名为DTrack,该软件专注于间谍和数据盗窃,而不是金融犯罪,并且具有远程访问木马(RAT)中通常具有的功能。
与朝鲜最大的国家黑客组织的链接
卡巴斯基研究人员表示,这两种恶意软件菌株(作为DTrack家族共同追踪)与“ DarkSeoul”中使用的恶意软件有很多相似之处,“ DarkSeoul ”是针对2013年韩国目标的一系列攻击。
这些攻击归因于拉撒路集团(Lazarus Group),这是一家受朝鲜政府追捧的知名网络间谍组织。
Lazarus Group是十天前受到美国财政部制裁的三个朝鲜黑客组织之一,原因是它们策划了对银行,ATM网络,赌博网站,在线赌场和加密货币交易所的网络攻击,以从合法企业中窃取资金并为该国的武器和导弹计划筹集资金。
换句话说,ATMDTrack恶意软件菌株的发现为美国财政部批准制裁与该组织有关的任何实体的决定提供了支持,并证明了这一点,并使其符合拉撒路的正常运作模式。
最早于本月发现DTRACK恶意软件
此外,DTrack似乎是Lazarus Group的最新作品之一。卡巴斯基首次部署于2018年夏末,并表示最新样本在2019年9月这个月就活跃了。
最新的DTrack示例可以执行以下操作:
-
键盘记录
-
检索浏览器历史记录,
-
收集主机IP地址,有关可用网络和活动连接的信息,
-
列出正在运行的进程,
-
列出所有可用磁盘卷上的文件。
根据目前可获得的信息,尚不清楚DTrack是否从ATMDTrack演变而来,还是在去年朝鲜黑客设法突破印度后盾并需要专门工具瞄准ATM时才从主要DTrac恶意软件开发了ATMDTrack。
原文始发于微信公众号(红数位):印度核电公司(NPCIL)官方证实:Kudankulam核电站的确感染了朝鲜Dtrack变种恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论