能源產業大敵當前！俄國駭客入侵 鎖定產業核心

《New York Times》報導，私人網路安全公司研究人員指出，俄國駭客正有系統地鎖定數百家西方石油、天然氣、能源投資公司，進行攻擊。

研究人員表示，俄國在石油、天然氣產業舉足輕重，駭客攻擊很明顯是商業間諜活動。

研究人員進一步表示，透過入侵西方能源產業公司，俄國駭客有機會取得工業控制系統操控權。此手法跟 2009 年美國與以色列使用 Stuxnet 電腦蠕蟲攻擊伊朗核子設施電腦系統、摧毀該國 1/5 濃縮鈾庫存的手段如出一轍。

俄國駭客攻擊已經影響全球超過 84 個國家、1000 個企業組織。加州爾灣網路安全公司 CrowdStrike 研究人員於 2012 年 8 月首度發現俄國網路攻擊，手法極其複雜，而且來勢洶洶，專門鎖定能源、衛生產業與政府、國防包商。

該駭客集團被命名為「能源熊」(Energetic Bear)，因為大部分受害者都是石油、天然氣能源公司。CrowdStrike 研究人員相信，俄國政府為駭客撐腰，因為駭客很明顯擁有豐富資源、手法幹練，而且攻擊均在莫斯科上班時間發生。

總部位於加州山景城的賽門鐵克 (SYMC-US) 電腦安全公司則為駭客集團起名為「蜻蜓 (Dragonfly)」，並做出類似結論。賽門鐵克更發現，駭客擁有如同 Stuxnet 蠕蟲般遠端控制的能力。

除了發送大量包含惡意軟體連結郵件這種基本手法之外，駭客更對能源產業員工、投資人常造訪的網站發動「水坑式攻擊 (Watering hole attack)。」也就是，駭客以病毒感染目標對象常去的網站，例如中式餐廳線上菜單。目標對象在不知情的情況下，造訪該網站，正好把木馬下載回家，駭客藉此入侵企業內部網路。

研究人員表示，俄國駭客很小心掩飾任何蛛絲馬跡。他們將木馬加密，防毒軟體難以偵測，連源頭都很難找到。研究人員更發現，在某些案例中，駭客試著攻擊電腦核心 BIOS－基本輸入輸出系統。軟體攻擊還有方法處理解決，如果硬體遭受感染，基本上，該設備就已經報廢了。

芬蘭網路安全公司 F-Secure 也向客戶發出駭客警告。過去 6 個月裡，研究人員發現，該駭客集團攻擊越來越積極、手法越來越複雜。(接下頁)[NT:PAGE=$]

俄國駭客成功攻陷工業控制軟體 ICS 製造商，在能源產業公司所使用的遠端作業軟體中植入木馬。當能源公司員工下載軟體最新版本，木馬也跟著潛進電腦。

賽門鐵克、F-Secure、CrowdStrike 研究人員表示，至少有 3 家 ICS 廠商遭駭。其一是某 ICS 遠端存取工具製造商，其二是某歐洲特製工業控制設備製造商，其三是某歐洲風力渦輪、天然氣電廠、能源基礎設施管理系統開發商。基於保密條款，這些網路安全公司不願指出受害廠商名稱。

研究人員估計，已有超過 250 家企業下載了駭客版軟體更新。

賽門鐵克本週一在報告中指出：「這些駭客不只攻佔了目標的網路灘頭堡，他們有能力破壞受感染電腦。」

賽門鐵克安全機制應變中心主任 Kevin Haley 在訪談中表示，目前尚無證據顯示俄國駭客打算利用網路攻擊造成實際損害，例如炸掉海上鑽油平台、或破壞電力設備。他認為，駭客的動機在於「學習能源公司經營、策略計畫、新科技。」但他也補充道：「確實有破壞的風險。」

CrowdStrike 主任 Adam Meyers 則表示，近期「能源熊」開始鎖定金融產業。駭客特別鎖定有投資能源產業的金融公司，一樣用「水坑」攻擊這些金融業員工常造訪的網站。

Meyers 指出，一但有人造訪受感染網站，駭客便可感染造訪者系統，掃描電腦設施，看看是否值得入侵，最後才決定要不要安裝駭客工具。碰到沒有興趣的電腦裝置，駭客會清理入侵工具並離開。「他們攻擊性很強，也非常小心，不留蛛絲馬跡。」