俄罗斯的Sandworm与史无前例的丹麦能源黑客攻击有关 - 彭博社

摄影师：Damian Lemański/Bloomberg今年对丹麦能源生产商发动的一次前所未有的网络攻击与一个熟悉的罪魁祸首有关。但首先…

必读：

• 工商银行飞赴美国试图限制来自黑客攻击的影响 • 网络攻击瘫痪澳大利亚港口威胁全球供应链• 网络‘灾难债券’试图测试公共债务市场

网络攻击的角度

五月份对丹麦近两打能源公司的攻击迫使其中几家公司停用了他们的互联网连接。现在，一份由行业网络安全组织发布的新报告称，与俄罗斯GRU军事情报机构有关的黑客可能是幕后黑手。

“以前从未发生过如此大规模的网络攻击针对丹麦关键基础设施，”丹麦能源供应商和其他关键基础设施运营商的非营利性计算机应急响应团队SektorCERT在报告中写道。“攻击者事先知道他们要瞄准谁，并且每次都准确无误。”

报告中包括了一份攻击的戏剧性逐分钟描述，发现了一些恶意软件与已被追踪到与GRU关联的Sandworm的IP地址通信的例子，后者被指责黑入乌克兰的电力网络和2018年冬奥会。然而，报告没有明确将这一恶名昭著的持久性高级威胁组织或APT组织做出明确归因。关键基础设施包括供水和供电设施，被视为国家安全问题。自乌克兰入侵以来，北欧当局一直对俄罗斯的干预保持高度警惕。

克里姆林宫发言人德米特里·佩斯科夫未回应置评请求。俄罗斯军方经常否认参与黑客行动。

我曾报道过一系列由与俄罗斯有关的黑客发动的攻击，包括对中国工商银行美国分部的瘫痪性打击，这是由多产的网络勒索组织LockBit发动的。丹麦的医院、机场、银行和政府网站今年也经常受到分布式拒绝服务攻击的袭击，这些攻击试图通过向服务器发送大量流量以迫使其下线，其中一些袭击被与俄罗斯有关的组织认领，称这是对乌克兰支持的回应。

然而，丹麦事件的规模和复杂性表明了一个更令人担忧的趋势。LockBit是一个犯罪团伙，而DDoS攻击通常只是短暂的不便。一个由国家支持的APT瞄准北约成员国的关键基础设施将标志着网络战的阴暗世界中的升级。

SektorCERT表示，丹麦高度分散的能源系统，拥有许多小型运营商，使其成为一个理想的目标。根据报告，攻击始于台湾Zyxel通讯公司制造的防火墙的漏洞。Zyxel的发言人没有立即回应评论请求。

攻击者对他们显然事先绘制的机器发动了精准打击，并成功地进入了一些公司的工业控制系统。 SektorCERT表示，几家受影响的公司不得不暂时切断互联网，其中一家公司下线了六天，但没有透露受害者的身份。

报告强调，俄罗斯黑客仍然是全球关键基础设施的一个强大威胁，包括那些历史上从未成为目标的地区。就在几天前，领先的美国网络事件响应公司Mandiant（隶属于谷歌云业务）指责 Sandworm去年对乌克兰能源基础设施进行了一次未经披露的网络攻击。微软公司警告，三月份Sandworm可能计划在乌克兰之外发动攻击。

“在SektorCERT三年的运营中，我们从未看到这些APT组织对丹麦关键基础设施发动攻击的迹象，”该组织表示。“他们的活动往往是为了破坏他们所为之工作的国家出于各种政治或军事考虑而设定的目标。”

这些入侵是通过在丹麦各地的关键基础设施中安装的270个传感器网络检测到的，以监视网络安全威胁。这些传感器在Zyxel发布了其产品中所描述的关键安全漏洞的细节后的两周内标记了第一波攻击，这使得SektorCERT能够在黑客获得控制之前检测到这些感染。

大多数最初的攻击之所以可能是因为受害者没有安装Zyxel的补丁。然而，在第二波攻击中，即从5月22日开始的攻击中，黑客利用了Zyxel防火墙中的不同漏洞，这发生在公司披露这些漏洞的两天前，表明他们可能提前知道了这些漏洞。

“我们唯一可以确定的是，丹麦的关键基础设施受到关注，并且网络武器正在被用来攻击我们的基础设施，”SektorCERT表示。

本周我们学到了什么

对于LockBit来说，这个十一月将是一个难忘的月份。作为全球最多产的勒索软件组织，LockBit在对ICBC的网络攻击之后，搅乱了美国国库市场，这个说法立即得到了证实，这个以俄语为主要语言的犯罪组织发布了他们声称从波音公司窃取的内部文件。

LockBit的商业模式是将其软件分发给一群黑客，这些黑客使用勒索软件加密受害者的计算机，然后要求支付以恢复访问权限。勒索是LockBit的另一个杠杆，它威胁在未获得支付时发布敏感文件。上周五，它执行了对波音在十月底提出的最后通牒，发布了超过40吉字节的据称是从这家航空巨头窃取的内部数据。

Bloomberg新闻无法验证这些文件是否真实。波音在一份声明中表示，其零部件和分销业务最近遭遇了一起网络安全事件，公司已经注意到了所谓的信息泄露，并表示确信这次攻击“不会对飞机或飞行安全构成威胁。”

彭博社审阅的大多数已发布文件似乎是存储在Citrix、Ivanti和Winshuttle等设备和软件中的数据备份，例如数据管理和工作空间工具。一个文件夹包含少量电子邮件，另一个包含内部培训文件和详细说明各种订单和合同的电子表格。乍一看，并没有什么爆炸性的内容。相反，它们是干燥的、技术性的，而且并不特别敏感。

即便如此，这次黑客攻击显示LockBit能够入侵全球最大的航空航天公司。 — Ryan Gallagher

我们正在阅读的内容

一群少年黑客 瘫痪了互联网，然后为FBI工作。

工商银行的黑客使用了 美国当局之前标记的方法。

如果您在2016年之前创建了一个 比特币钱包，您的资金可能不安全。

SolarWinds指责SEC在政府针对该软件公司2020年黑客攻击的诉讼中“歪曲事实”。

FBI 努力阻止危险的赌场黑客团伙，网络应对人员表示。

研究人员表示，一场亲巴勒斯坦的间谍活动正在在加沙战斗中发展。

钓鱼攻击

**有新闻线索吗？**您可以联系Jordan Robertson，邮箱为[email protected]。Jake Rudnitsky的邮箱是[email protected]。您还可以使用我们的SecureDrop安全匿名地发送文件。

彭博更多内容

获取科技日报和更多彭博科技周刊内容：

• 游戏开始玩转视频游戏行业
• 开机获取苹果独家新闻、消费者科技新闻等
• 屏幕时间近距离观看好莱坞和硅谷的碰撞
• 声音片段报道播客、音乐行业和音频趋势
• 问答AI回答您关于人工智能的所有问题