FBI和DHS調查：黑客多使用網路釣魚攻擊能源行業

E安全7月20日訊 近期被披露的黑客行動中，超過15家不同的美國能源公司收到網路釣魚電子郵件。

多起攻擊能源行業的組織被指為俄羅斯黑客

網路安全研究人員和一名美國政府官員表示，儘管有證據表明，這些攻擊者與愛爾蘭和土耳其能源公司遭受的類似入侵企圖存在關聯，但5月上旬開始的最近一波網路釣魚電子郵件似乎只發送給了美國公司。

最近幾天有又報道稱愛爾蘭能源網路遭遇入侵，攻擊活動顯示，這與美國能源公司遭遇的網路入侵存在一些相似之處。美國安全公司FireEye的分析師本·里德表示，愛爾蘭能源網路和美國能源公司遭受的網路攻擊是同一黑客組織所為，不過前者的時間早於後者，因為在三月，攻擊者使用了一批針對非美國目標的不同網路釣魚電子郵件。

消息人士透露，約18家美國能源公司收到網路釣魚電子郵件。目前尚不清楚受影響的設施數量，因為有針對性的電子郵件賬號可能與多家工廠的員工有聯繫。攻擊者將網路釣魚電子郵件發送至一般商業電子郵件地址，包括與jobs@和invoices@相關地址。

一些網路安全研究人員認為，至少自2015年以來，俄羅斯黑客組織發送惡意電子郵件，企圖實施大規模網路間諜行動。

針對黑客攻擊的調查

專家表示，這一波具有針對性的攻擊令人擔憂，因為攻擊集中針對美國能源部門。FireEye網路間諜分析部門負責人約翰·霍爾特奎斯特先前表示，攻擊者發起這類入侵可能是為了收集信息，而非為了經濟利益。

網路釣魚

6月28日，FBI和DHS警告美國能源公司提防獲取憑證的高級持續威脅。威脅攻擊者可能使用魚叉式網路釣魚電子郵件和被感染的網站發起攻擊。

報告指出，DHS和FBI識別了攻擊者使用的常見主題，例如看似是合法簡歷的Microsoft

Word附件。一旦通過魚叉式網路釣魚獲取了受害者的憑證，攻擊者的有效載荷映射網路驅動器收集被感染系統上的配置詳情，從而允許攻擊者更有效地在受害者網路中橫向活動。目前事件仍在調查之中。

如果用戶下載電子郵件附件，附件將會通過Microsoft的伺服器信息塊（SMB）連接激活模板文件，從而獲取用戶憑證。攻擊者通過這種方式感染計算機，收集信息，以便實施接下來的入侵活動。

熟悉調查的知情人士透露，最近一波網路攻擊中，不到30家美國公司成為攻擊目標，但可能還存在FBI和DHS尚不清楚的案例。黑客針對的美國能源公司規模不一，包括小型能源分銷公司和地區壟斷能源企業。

其中已知的美國能源公司有六家，但這幾家公司均拒絕予以置評。

受害者收到看似合法密歇根建築公司電子郵箱地址發送的陷阱附件。分析師認為，這家密歇根公司並未意識到電子郵件伺服器被劫持用來發送魚叉式網路釣魚電子郵件。

針對能源行業的攻擊正在興起

多個重視網路防禦的外國政府機構表示，他們國家的能源公司未遭受類似的網路釣魚攻擊。

德國聯邦信息安全辦公室表示，德國的能源公司未遭到攻擊。

英國國家網路安全中心發言人稱，如果發生此類威脅，國家網路安全中心準備予以響應，但同時也指出，英國並未發現此類攻擊活動。

波蘭計算機緊急響應小組的發言人通過電子郵件表示，他們根本沒有相關數據。

能源行業在一定程度上能夠影響一個國家的經濟發展，在未來有可能面臨更多更複雜的網路威脅，儘管目前來說，針對能源行業的網路攻擊並不泛濫。

相關閱讀：

烏克蘭國家銀行、電力公司遭受大規模網路攻擊

西門子電力監控系統存在兩大信息泄露安全漏洞

加利福尼亞一家電力公司資料庫遭到曝光，導致數據泄漏

伊朗黑客組織「OilRig行動」瞄向美國政府與能源網

美國能源部出資400萬美元，激勵開發網路防禦工具

美國核能公司遭遇黑客事件，多個核電站被入侵

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」查看更多精彩內容。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！