亲俄威胁组织Killnet DDoS攻击多个美国机场网站导致瘫痪

继美国州政府网站遭到系列严重网络攻击之后，亲俄威胁组织Killnet于当地时间周一（10月10日）通过一系列分布式拒绝服务(DDoS)攻击，袭击了美国多个机场的网站。该组织还呼吁类似结盟的组织和个人对美国其他基础设施目标实施DDoS攻击，这似乎是最近一场抗议美国政府支持乌克兰对俄战争的行动的升级。

受到Killnet组织DDoS攻击影响的机场网站包括洛杉矶国际机场(LAX)、芝加哥奥黑尔机场、哈茨菲尔德-杰克逊亚特兰大国际机场和印第安纳波利斯国际机场。虽然DDoS攻击使一些网站无法访问数小时，但它们似乎没有对机场运营产生任何影响。

曼迪昂特公司的研究人员一直在追踪这些攻击，他们表示，他们观察到共有15家美国机场网站受到影响。

目前没有报告对实际航空旅行有直接影响的迹象，这表明该问题可能会给寻求旅行信息的人们带来不便。

美国网络安全和基础设施安全局 (CISA) 参谋长Kiersten Todt周一当天在佐治亚州海岛的一次安全会议上表示：“显然，我们正在跟踪这一点，并且不担心运营会受到干扰。”

网站访问的短暂中断

洛杉矶国际机场在给Darkreading的一份声明中证实了这起攻击。

洛杉矶国际机场发言人在一份电子邮件声明中指出,10日凌晨，FlyLAX.com网站部分中断。洛杉矶国际机场官员称，服务中断仅限于面向公众的FlyLAX.com网站的部分内容。该声明称，机场内部系统没有受到破坏，运营也没有中断。该声明还表示，机场的IT团队已经恢复了服务，并已通知FBI和美国运输安全管理局(TSA)。

亚特兰大杰克逊国际机场代表葛贝尔（Andrew Gobeil）说，“我们今天上午注意到对外网站离线了，我们的信息科技和安全人员正在进行调查，”“运营没有受到影响。”

洛杉矶国际机场发言人斯皮拉博特（Victoria Spilabotte）说，洛杉矶国际机场网站的公共服务部分也受到影响，“但内部机场系统都没有受到破坏，运营没有中断。” 斯皮拉博特说，机场通知了联邦调查局和美国运输安全管理局，机场的信息科技团队正努力恢复所有服务，并调查原因。

其它报告网站连接出现问题或网站似乎运行十分缓慢的机场包括芝加哥奥哈拉国际机场，这个机场在Killnet的目标清单上。

芝加哥航空局在一份声明中说，奥哈拉和中途机场的网站星期一上午离线，但机场运营没有受到影响。

Digital Shadows公司的高级网络威胁情报分析师伊万·里吉(Ivan Righi)表示，Killnet还要求其支持者加入机场攻击行动，并在其Telegram频道上发布了一份要攻击的域名列表。他说，该组织总共提到了美国各地机场的49个域名。目标名单包括加利福尼亚、特拉华、佛罗里达、乔治亚、伊利诺斯、马里兰、马萨诸塞和密歇根等二十多个州的机场。

“目前，还不知道这些攻击有多成功，但Killnet攻击是已知的使网站在短时间内瘫痪，”Righi说。他表示，攻击始于对奥黑尔机场的DDoS攻击，该组织在攻击中表明了其针对美国民用网络部门的动机，该组织认为该部门不安全。

奥黑尔没有立即回应Darkreading的置评请求。但截至中部时间中午，机场的网站还是可以访问的。

呼吁更广泛的攻击

fllad Cuiujuclu是“闪点”(Flashpoint)的全球情报团队负责人，他说，在攻击奥黑尔国际机场的DDoS攻击发生前不久，Killnet宣布对属于美国民用基础设施的域名进行新一轮的DDoS攻击。Cuiujuclu表示，该组织敦促支持者攻击的目标包括海运码头和物流设施、天气监测中心、医疗系统、公共交通票务系统、交易所和在线交易系统。

Cuiujuclu指出，Killnet敦促其他亲俄组织对属于美国民用基础设施的域名发起DDoS攻击，其他讲俄语的网络团体也分享了这篇帖子，包括Anonymous | Russia、Phoenix和We Are Clowns。

Killnet是近几个月来较为活跃的亲俄网络威胁组织之一。就在上周，它声称对密西西比州、肯塔基州和科罗拉多州政府网站的DDoS攻击负责。今年7月，该组织声称对美国国会网站的DDoS攻击负责，那次攻击短暂影响了公众访问。

今年8月，Killnet表示，它计划攻击洛克希德马丁公司(Lockheed Martin)。这家公司生产美制火箭筒，乌克兰军方在冲突中一直在使用。该组织声称，它已经破坏了洛克希德·马丁公司的身份授权基础设施，但追踪该活动的“闪点”(Flashpoint)公司表示，它无法找到任何可证实的攻击证据。“这是有可能的，但Killnet目前除了一段视频和一份据称包含员工数据的电子表格外，几乎没有可证实的证据，这些数据的真实性无法确定，”闪点当时表示。

一个特别活跃的威胁组织

几乎从俄罗斯入侵乌克兰开始，Killnet就一直在不断发布针对北约成员国组织以及它认为在冲突中支持乌克兰的组织的DDoS攻击证据。Flashpoint此前曾将Killnet描述为一个精通媒体的威胁组织，倾向于通过吹嘘攻击来夸大自己的形象。认为尽管Killnet的威胁往往是宏大而雄心勃勃的，但他们最近的DDoS攻击的实际影响迄今为止似乎可以忽略不计。

Killnet 与为Fancy Bear和Sandworm等情报机构组织工作的俄罗斯高技能黑客截然不同，后者分别通过美国民主党全国委员会的黑客攻击和推出名为 NotPetya 的毁灭性勒索软件而声名鹊起。另一方面，Killnet更像是一个愤怒的、民族主义的在线暴徒，配备了低级的网络攻击工具和策略。它的巨大成功在于设定了关于战争的叙述。

“俄罗斯许多人将他们视为英雄，”苏黎世联邦理工学院安全研究中心的研究员 Stefan Soesanto说，他追踪冲突中的黑客活动。“Killnet的目的是让欧洲人为他们对乌克兰的明确支持付出代价，并惩罚西方政府的反俄情绪。”

该组织因发起分布式拒绝服务 (DDoS) 攻击和“破坏”网站而声名鹊起，他们在这些网站上发布亲俄消息，并在他们入侵的网站上发布。它于 1 月首次作为网络犯罪黑客出租供应商出现，但当俄罗斯坦克在 2 月底入侵乌克兰时，该组织迅速变得非常直言不讳地支持俄罗斯的进攻。

“KillNet 以一种情绪化的方式运作。他们寻求对他们认为对俄罗斯及其人民犯下的错误进行报复和报复。CyberKnow 要求不要透露他的真实姓名。“他们对当前的地缘政治事件极为反动。”

安全专家称，Killnet的攻击——以及它正在敦促其他组织实施的攻击——是近年来地缘政治冲突蔓延到网络领域趋势的例证。例如，就在该威胁组织对美国和其他北约(NATO)国家的行动明显升级的几天前，一场爆炸摧毁了连接俄罗斯和克里米亚半岛的一座关键桥梁的一部分。

到目前为止，亲俄组织对美国机构造成影响的大多数网络攻击，其破坏性远不及俄罗斯组织对乌克兰实体的攻击。其中一些攻击——包括许多与俄罗斯吞并克里米亚有关的攻击——旨在破坏支持俄罗斯军事目标的系统，削弱电力和其他关键基础设施。

参考资源

1、https://www.darkreading.com/attacks-breaches/us-airports-cyberattack-crosshairs-pro-russian-group-killnet

2、https://apnews.com/article/technology-business-atlanta-680cf93f7eb0300127448c35299ad66e

3、https://abcnews.go.com/Technology/wireStory/airport-websites-offline-investigated-91295146

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。