工业网络安全公司 Dragos 指出,“褐帘石 (Allanite)”组织一直攻击英美国家电力企业的业务和工控网络。
被指和“蜻蜓”黑客组织存在关联
“褐帘石”组织被指和“蜻蜓 (Dragonfly)”组织(也被称为“能量熊 (Energetic Bear)”和“蹲伏雪人 (Crouching Yeti)”)和 Dymalloy组织之间存在关联,后者是研究员在分析“蜻蜓”组织攻击过程中发现的。
Dragos 公司指出,2017年10月,美国国土安全部在一份报告中将“蜻蜓”组织的攻击和“褐帘石”组织的活动关联在一起。Dragos 公司还指出,“褐帘石”的攻击活动非常类似于和“蜻蜓”组织存在关联的、国土安全部曾在2017年7月说明的 Palmetto Fusion 攻击活动。然而,虽然它们的目标和技术相似,但研究员认为“褐帘石”不同于“蜻蜓”和 Dymalloy。
“褐帘石”利用钓鱼攻击和水坑式攻击获得对目标网络的访问权限。“褐帘石”组织并不使用任何恶意软件,而是依靠 Windows 中的合法工具。
美国政府和私营企业认为“褐帘石”活动和俄罗斯之间存在关联,而 Dragos 表示,“并没有证实归属于其它方。”
或已从工控网络中提取信息
2017年7月,美国官员向媒体透露称,黑客并未获得对运营网络的访问权限,但 Dragos 公司证实了“褐帘石”实际上直接从工控网络中提取信息的第三方报告。
“褐帘石”至少活跃于2017年5月,目前仍在实施攻击活动。该组织主要针对英美国家电力公司的业务和工控网络发动攻击,目的是开展侦察并收集情报。
Dragos 公司有一半的把握认为,“褐帘石”获得对工业系统访问权限的目的是获得需要开发颠覆性能力的信息并做好随时造成损害的准备。然而,Dragos 公司表示该组织尚未引发任何破坏或造成任何损失。
Draogs 发布的关于“褐帘石”组织的报告是一系列专注于关键基础设施威胁组织的首份报告。该公司以“活动组织控制板 (Activity Groups dashboard)”的形式会向付费用户提供每个黑客组织的信息,其中包括完整的技术详情。
本文由360代码卫士翻译自SecurityWeek
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
