10月22日,美國聯邦調查局(FBI)和國土安全部(DHS)對外宣布,來自俄羅斯的黑客組織從9月開始就瞄準了美國數十個州和地方政府的網絡,並在這些系統中「四處遊蕩」。
他們指出,黑客們至少從美國兩臺伺服器中竊取了數據。甚至有官員透露,一些數據與美國地方政府的投票系統有關——俄羅斯黑客已經獲取了選民信息,極有可能在最後時刻擾亂美國大選,目的是幫助川普連任。
美國官員稱,這些攻擊極有可能來自俄羅斯最強大的黑客組織之一「能量熊」。
當地時間2020年10月19日,美國華盛頓,美國司法部當天對6名俄羅斯公民提出指控。圖片:CFP
「能量熊」不是熊
「能量熊」英文名是Energetic Bear,美國《大西洋月刊》稱,這是能量黑客(energy hacks)+俄羅斯熊(Russian bears)的縮寫。
該團體第一次為公眾所關注是在2014年,當時,美國網絡安全公司賽門鐵克(Symantec)發布了一項調查報告稱,「能量熊」又名「蜻蜓」(Dragonfly),他們所開發的惡意軟體允許黑客們即時監控能源消耗量,或讓風力發電機、天然氣管線和發電廠等設施癱瘓。
報告稱,在2012年至2014年期間,「能量熊」已經潛入西方的石油和天然氣行業:84個國家運營的超過1000家公司已經被惡意軟體入侵。
此外,賽門鐵克關注到,「能量熊」至少自2010年以來就開始運作,最初瞄準的是美國和加拿大的國防和航空航天領域,隨後滲透到工業控制系統,以訪問能源行業公司。
「能量熊」的工作時間與莫斯科時區(UTC + 3)的9小時工作區間重合,且襲擊的主要目標大多為反俄國家。據美國網絡安全公司CrowdStrike統計,「能量熊」的攻擊行動目標25%在美國,25%在歐盟國家,另有12%在日本。
賽門鐵克專家康迪德·伍斯特(Candid Wüest)則表示,在他和同事研究程序代碼時,看到了俄語單詞。
總部位於莫斯科的電腦安全公司卡巴斯基後來也發布文章暗示,其他行業的「更多企業」也受到了「能量熊」的影響,被入侵的公司多達2800家。
根據卡巴斯基的調查,「能量熊」遵循的是經典的破壞路徑,攻擊者使用分發的網絡釣魚電子郵件以及藏有病毒的PDF文件來擴散病毒。此外,他們還將惡意軟體注入到各種網站(政府網站和私有網站)的伺服器上,由此,黑客們可以遠程訪問這些伺服器。
「能量熊」早期(2014年前)的攻擊集中在美國和歐州,這之後,針對烏克蘭的攻擊增加,而到了2016-2017年期間,對土耳其公司的攻擊次數顯著增加。
2015年年末,烏克蘭發生大規模停電。圖片:TACC
另據媒體報導,烏克蘭的電網曾在2015年至2016年遭遇兩次黑客襲擊。史無前例的一次發生在2015年年末,黑客成功入侵烏克蘭三家能源分銷公司信息系統,讓烏克蘭30個變電站被迫關閉,約23萬人停電6小時。
美國國土安全部2016年發布的聯合分析報告(JAR)稱,「能量熊」是與俄羅斯政府存在直接聯繫的俄羅斯高級持續威脅(APT) 網軍。
美國為何害怕「能量熊」
《紐約時報》10月23日的文章指出,「能量熊」的海外攻擊取得了巨大的成功。
報導稱,「能量熊」已經入侵了大量頗受歡迎的美國能源領域網站,並在內部植入網絡釣魚電子郵件,以此來找到在水、電和核電等關鍵領域工作的員工。
美國國土安全部工業控制系統分析主管喬納森·荷馬(Jonathan Homer)警告稱,黑客們已經找到了可以打開開關以及切斷電力的方法。美國國土安全部甚至在2018年公布了發電廠控制器的計算機截屏,稱黑客用手指觸控,打開了發電廠工業系統的計算機開關。
基於這種情況,從2018年開始,五角大樓的分支機構美國網絡司令部開始對俄羅斯電網進行報複式打擊。當時,多位在任及前任政府官員對《紐約時報》表示,美國正在加強對俄羅斯電網的入侵,以此向普京發出警告,證明川普政府在更加積極地進行網絡部署。
當時,有專家將這場反擊稱為是「數字時代的雙邊破壞」。
「能量熊」的海外攻擊取得了巨大的成功。圖片:ria.ru
讓人沒想到的是,當美國官員希望藉助這場反擊來威懾俄羅斯時,黑客們又在今年3月悄然潛入了美國機場。《紐約時報》評論稱,「美國官員的希望在這一刻破滅了。」
這場網絡攻擊從2020年3月17日開始,持續兩個星期。美國加利福尼亞州舊金山國際機場發表聲明,承認其網站被黑,並可能洩露用戶帳戶和密碼數據。更嚴重的是,攻擊者通過複雜的手段竊取了用戶的Windows登錄密碼。
舊金山國際機場是世界級的高水準機場,也是舊金山灣區和北加州最大的機場和主要的國際門戶,每年承載遊客5000萬人次。從這裡可以飛往北美各地以及全世界各個城市。
通過帳戶密碼,入侵者可以對某些用戶,特別是商業企業用戶發起攻擊,例如在進入用戶系統後竊取關鍵信息。
而關於黑客的背景和攻擊方法進行調查後,來自斯洛伐克布拉迪斯拉的ESET公司指出,發起攻擊的「幕後真兇」就是:被美國認定為 「俄羅斯網軍」的「能量熊」。
這場攻擊導致所有訪問過舊金山國際機場網站的人必須更改密碼。
美國國防部副助理部長麥可·卡彭特(Michael Carpenter)說:「他們(俄羅斯)一直在入侵我們的網絡,時刻準備發起一次有限的或廣泛的攻擊。他們正在對西方發起隱秘戰爭。」
是否會攪亂美國大選
在10月22日美國政府發布的警告信息中,安全官員們稱,俄羅斯的黑客組織可能再次瞄準了航空系統。他們沒有列出具體目標,但官員們猜測,下一步極有可能是俄亥俄州哥倫布國際機場。
美國國土安全部還警告,目前「能量熊」的目標是「先從安全性較低的網絡或小型系統來獲取訪問權限,但此後極有可能橫向轉移到能源行業等高價值所有者的網絡。」
他們進一步指出,「能量熊」對美國各州和地方政府系統的一系列入侵反應了這種攻擊的軌跡:俄羅斯黑客正在利用他們看似隨機的網絡攻擊,實則希望在11月3日大選投票日前挖掘更多有用的信息。例如讓資料庫脫機、驗證選民在郵寄投票上的籤名,或者利用他們掌握的權限來關閉一些資料庫。
「最令人不安的是,它證明了俄羅斯的意圖和能力。」奧本大學麥克拉裡網絡和關鍵基礎設施安全研究所所長弗蘭克·西拉福(Frank Cilluffo)表示。
不過,在美國國土安全部網絡安全和基礎設施安全局局長克裡斯·克雷布斯(Christopher C. Krebs)看來,這次黑客組織的入侵並不是專門針對選舉。他對美聯社表示,「只有在少數情況下,他們(黑客)能夠訪問與選舉有關的網絡。」
官員們強調,目前,沒有證據表明俄羅斯黑客已經改變了任何投票記錄或選民登記信息。他們補充說,像2016年那樣,俄羅斯支持的黑客沒有採取進一步行動,僅是侵入了計算機網絡。
2016年年末,歐巴馬政府指控俄羅斯通過美方稱之為「灰熊草原」的黑客行動幹預了2016年美國大選。當時,美國國家情報局與國土安全部共同指控俄羅斯黑客入侵了民主黨全國委員會的網絡系統,並將文件洩露給維基解密,目的是令選舉結果有利於川普,並指控俄羅斯總統普京親自批准了該行動。
緊隨其後,歐巴馬籤署了行政命令,同年驅逐了35名俄羅斯外交官,並擴大對俄制裁。
直至2019年4月18日,美國司法部公布了經過刪節的「通俄門」調查報告,報告指出,川普競選團隊並沒有在2016年總統選舉期間「通俄」。
不過這一次,多年來一直負責監控「能量熊」的美國網絡安全公司CrowdStrike的情報負責人亞當·邁耶斯(Adam Meyers)指出,「9月以來,『能量熊』的入侵似乎只是準備工作,以確保他們在未來需要時採取行動。」
《紐約時報》指出,如果美國大選不能如期出結果,俄羅斯團體或利用對地方計算機信息的掌控,引發民眾的質疑,造成混亂局面。
此外,也有情報官員對該媒體表示,他們認為黑客組織可能計劃在最後幾天或11月3日大選後採取幹預行動。他們同時指出,黑客行動的目標極有可能是增加川普留在白宮的機會,尤其是在競選活動迫在眉睫之時。
然而,針對美國持續不斷的指控,10月22日,俄羅斯總統新聞秘書德米特裡·佩斯科夫(Дмитрий Песков)對記者表示,指控「絕對毫無根據」。他強調,「所有這些都是絕對沒有根據的,他們的說法不基於任何證據。 」
普京在莫斯科瓦爾代國際辯論俱樂部舉辦的視頻會議上講話。圖片:克裡姆林宮
同樣是在10月22日,在莫斯科瓦爾代國際辯論俱樂部舉辦的視頻會議上,俄羅斯總統普京呼籲全球網絡空間的平穩和安全運行。他強調,如果有人認為其他人幹涉了自己的事務,那我們有必要進行對話,建立規則,根據協議去限制我們的權力。」
不過,普京也補充說,「如果美國拒絕這種對話,俄羅斯願意與所有其他夥伴在確保國際信息安全方面展開對話和合作。」