官员们说,俄罗斯黑客组织Energy Bear在3月份的一次攻击中侵入了SFO工作人员和旅行者用来访问机场Wi-Fi的系统

2020-10-24 07:41:21

网络安全官员在9月份越来越警惕地关注着,就在距离大选只有两个月的时候,俄罗斯国家黑客开始在美国数十个州和地方政府的计算机系统周围徘徊。

这一行为本身并没有让他们太担心-官员们预计干预2016年选举的俄罗斯人会回来-但这位演员确实回来了。该组织因其对能源部门的黑客攻击而被研究人员称为“蜻蜓”或“活力熊”,并未参与2016年选举黑客活动。但在过去的五年里,它已经破坏了电网,水处理设施,甚至核电站,包括堪萨斯州的一座。

今年3月,它还侵入了旧金山国际机场(San Francisco International Airport)和至少另外两个西海岸机场的Wi-Fi系统,显然是为了找到一名身份不明的旅客,这表明了黑客的力量和决心。

9月份的入侵标志着研究人员首次抓获该组织,该组织隶属于俄罗斯联邦安全局(FSB),目标是各州和县。袭击发生的时间如此接近选举,以及破坏的可能性,在私营保安公司、执法和情报机构内部引发了担忧。

美国国土安全部(Department Of Homeland Security)负责网络安全和关键基础设施的前副部长苏珊娜·斯波尔丁(Suzanne Spaulding)说,“一种可能的解释是,他们请来了真正的专业人士--A团队--他们习惯于在这个非常敏感的关键基础设施中运作,你想保持沉默,直到你不这么做。”

2016年,来自其他组织的俄罗斯黑客在试图渗透一些州选举数据库的过程中发出了异常嘈杂的声音。“你可以说他们不在乎保持安静,”斯波尔丁说。但既然俄罗斯因干预选举而受到指责并受到惩罚,弗拉基米尔·V·普京(Vladimir V.Putin)总统“可能希望在信息行动中使用这些武器的情况确定之前保持沉默,”她补充说。

周四,美国官员在一份公告中将黑客攻击描述为“机会主义”,而不是对选举基础设施的明确攻击,但承认该组织以数十个州和地方系统为目标,并从至少两个目标的服务器上窃取了数据。

网络安全和基础设施安全局(CyberSecurity And Infrastructure Security Agency)局长克里斯托弗·C·克雷布斯(Christopher C.Krebs)说,“他们广泛地在寻找漏洞,而且是机会主义的。”该机构与联邦调查局(FBI)一起发布了这一警告。

这很难让追踪精力充沛的熊多年的研究人员放心。监控该组织的安全公司CrowdStrike的威胁情报主管亚当·迈耶斯(Adam Meyers)说,“这似乎是为了在他们决定需要时确保访问权限。”

精力熊通常会撒一张大网,然后瞄准几个高价值的目标。在德国和美国,该组织感染了能源行业流行的网站,将恶意软件下载到任何访问这些网站的人的机器上,然后搜索有权访问工业系统的员工。

在其他攻击中,它劫持了连接到工业控制系统的计算机的软件更新。它还用钓鱼电子邮件轰炸目标,寻找可能可以访问水电和核电站关键系统的员工或同事。

而且它做到了这一点,取得了令人瞩目的成功。2018年国土安全部(Department Of Homeland Security)公告中的一张令人不安的屏幕截图显示,这些组织的黑客将手指放在控制一家发电厂工业系统的电脑的开关上。

到目前为止,该组织还没有停止破坏活动,但似乎正在为未来的一些袭击做准备。黑客攻击事件让官员们非常不安,以至于从2018年开始,五角大楼负责进行攻击性网络攻击的美国网络司令部(United States Cyber Command)对俄罗斯电网进行了报复性打击。

一些人称这种反击相当于数字时代的相互确保毁灭。但是,当该组织3月份开始以美国机场为目标时,美国官员认为他们的空袭会威慑俄罗斯的任何希望都破灭了。

旧金山国际机场的官员发现,俄罗斯国家黑客入侵了机场员工和旅客用来访问机场Wi-Fi的在线系统。黑客向两个Wi-Fi门户网站注入代码,窃取了访问者的用户名,破解了他们的密码,并感染了他们的笔记本电脑。

袭击从3月17日开始,持续了近两周,直到被关闭。到那时,另外两个机场的官员发现他们的Wi-Fi门户也被攻破了。研究人员以保密协议为由不愿透露其他受害者的名字,但表示他们在西海岸。

尽管攻击可能无处不在,但研究人员认为,俄罗斯黑客只对当天通过机场旅行的一个特定人感兴趣。

“从表面上看,数十万人可能已经遭到攻击,”赛门铁克网络安全总监埃里克·钱(Eric Chien)说,他检查了这次攻击。“但只有10个是。”

钱先生的团队发现,黑客正在对任何登录Wi-Fi网络的人的机器进行“指纹识别”,这些人是为了搜索微软的Internet Explorer浏览器的一个较旧版本而登录的。如果他们找到匹配,黑客就会感染那些笔记本电脑。如果Wi-Fi访问者使用任何其他浏览器,黑客就不会打扰他们。

“从我们可以看到的情况来看,他们针对的是一个特定的人,”钱先生说。

在周四的政府警报中,官员们表示,这家俄罗斯组织再次将目标对准了航空系统。它没有说出目标的名字,但确实用一些技术语言暗示,其中一个可能是俄亥俄州哥伦布市的机场。

在之前的国土安全部对该组织的警告中,官员们表示,该组织“瞄准了低安全性和小型网络,以获得访问权限,并横向转移到能源行业内主要的、高价值资产所有者的网络。”

安全研究人员警告说,针对美国州和地方系统的一连串攻击可能会反映出这些攻击的轨迹:俄罗斯的黑客利用他们在看似随机的受害者网络中的立足点,在距离11月3日大选更近的地方挖掘更有趣的目标。他们可能会采取一些措施,比如关闭验证邮寄选票上选民签名的数据库,或者考虑到他们的特殊专长,切断关键选区的电力供应。

奥本大学(Auburn University)麦克拉里网络与关键基础设施安全研究所(McCrary Institute For Cyber And Critical Infrastructure Security)所长弗兰克·西卢夫(Frank Cluffo)说,“最令人不安的是,这表明了俄罗斯将目标对准我们身边和亲爱的系统的意图和能力,但这不应该让我们感到惊讶。”

一些安全专家认为,通过委派FSB最隐蔽的基础设施黑客攻击州和地方系统,俄罗斯可能是在对冲自己的赌注。

例如,如果普京认为特朗普总统将再次当选,并希望与美国建立更好的关系,他可能会希望限制俄罗斯被视为干预的程度。

同样,专家们表示,如果民主党提名人、前副总统小约瑟夫·R·拜登(Joseph R.Biden Jr.)当选,俄罗斯可能会试图利用其在系统中的立足点来削弱他或使他失去合法性,也可能会有所保留,以免激怒新政府。

“更低调地做这件事,你就给了自己更多的选择,”斯波尔丁说。