俄罗斯黑客组织“蜻蜓”攻击了西部1000多家能源公司

360网站管家

往日的网络犯罪通常仅注重在PC机上传播恶意代码，并且以PC使用者为目标，不管他们是屌丝还是高富帅。而今，能源部门的各种机构已经变成网络犯罪感兴趣的目标了。
    几天前，安全研究人员发现了一种类似震网的恶意代码：Havex,它也是被编码用作感染SCADA系统的工业控制系统，这种恶意代码可能通过使用一个按键就能够使水电大坝停运、核电站过载，甚至关闭一个国家的电网。
俄罗斯黑客袭击1000多家能源公司
    某安全公司称，近来，一个称为EnergeticBear的俄罗斯黑客组织使用一种复杂的网络武器，已经使1000多家欧洲和北美能源公司受损，与震网相似，这种网络武器可以使黑客们访问到能源部门的控制系统。
    该黑客组织也被称为“蜻蜓”，一个至少自2011年起便开始活跃的东欧黑客团体，并且自从2013年就一直使用钓鱼网站和木马对美国和其他一些国家的能源供应商组织实施攻击。
    赛门铁克称，“他们的主要目标是实施间谍活动，该团体似乎是有资源、有规模、有组织的，这无疑表明在这次恶意软件活动中有政府的参与。”
根据赛门铁克发表在官方博客的博文称，蜻蜓组织的主要目标是许多国家的石油管道运营商、发电企业和其他能源工控设备提供商。
破坏操作
    从2013年开始，蜻蜓组织就以那些使用工控系统来管理电、水、油、气和数据系统的机构为攻击目标，这次间谍活动在18个月的时间里影响了几乎84个国家，但是大多数受害者机构都位于美国、西班牙、法国、意大利、德国、土耳其和波兰等国家。
    该博文显示，2013年初在将主要目标转向美国和欧洲的能源公司之前，蜻蜓最初的目标是美国和加拿大的国防和航空企业，蜻蜓体现了国家支持操作的标志，展示了技术能力的高度。
攻击向量
    为达到通过远程控制木马(RAT)访问计算机系统的目的，蜻蜓使用不同的技术感染工业软件，包括在电子邮件、网站和第三方程序中捆绑恶意软件，这种恶意软件拥有实施破坏操作的能力，这种破坏操作可能中断多个欧洲国家的能源供应。
赛门铁克在其官方博客中说，“蜻蜓攻击者为了间谍活动已攻破了一些重要战略意义的组织，如果他们使用了Havex的破坏能力，可能已经造成受影响国家能源供应的损害或者中断。”
蜻蜓连接类似震网的网络蠕虫Havex
    赛门铁克称，蜻蜓使用两种黑客工具，第一个是用来收集系统信息的Backdoor.Oldrea，包括计算机的Outlook地址簿和已安装文件及程序列表；第二个是用来上传所窃取的数据、下载新文件并在受感染计算机上运行这些文件的Trojan.Karagany。Oldrea后门也被称为Havex，简而言之，Oldrea和Karagany恶意软件族可以使网络罪犯获得被感染系统的后门访问权限，同时可以转移机密数据并下载安装其他恶意软件到系统中。
    回顾下这个病毒系列中第一个功能强大的恶意软件，当然是最臭名昭著的震网蠕虫病毒Stuxnet，它被设计的目的是破坏伊朗核项目，这也是2010年国际头条新闻。其专门针对铀浓缩设施，使离心机失控从而造成纳坦兹的工厂遭受物理破坏，成功使正在用来浓缩铀的1000台离心机瘫痪。