10 月 29 日,一名推特用户贴出一条 VirusTotal 链接,链接指向内容貌似是最近发现的 Dtrack 恶意软件样本。此后,有关印度泰米尔纳德邦 (Tamil Nadu) 库丹库拉姆镇 (Kudankulam) 核电厂遭网络攻击的报道甚嚣尘上。
该恶意软件中硬编码了一条用户名和密码组合配置信息,其中包含库丹库拉姆核电厂的首字母缩写 KKNPP。
印度网络安全专家 Pukhraj Singh 转发了那条推特,称攻击者已获得该核电厂域控制器级别的访问权,其他 “极端关键目标” 亦遭到攻击。
Pukhraj 提到他在 9 月初发布的一条推特,其中以拉丁文 “casus belli” 宣告他见证了相当于宣战的一起事件。之后,他澄清称,自己注意到的其他目标甚至 “比 KKNPP 还令人惊恐”,所以他 “用了 casus belli 这么夸张的形容”。
Pukhraj 称自己从第三方获悉了库丹库拉姆核电厂入侵事件,并在 9 月 3 日通知了印度国家网络安全协调员,后者据称也承认了该事件。然而,一些印度官员坚决否认该核电厂发生过任何形式的网络入侵。
Dtrack是什么?
卡巴斯基的研究人员最近在调查针对印度的 ATM 攻击时发现了名为 Dtrack 的远程访问木马 (RAT),其中用到了跟踪记录为 ATMDtrack 的一款恶意软件。
Dtrack 是用于监视受害目标的远程访问木马,可在目标计算机上安装多个恶意模块,包括:
Dtrack 可使远程攻击者能够将文件下载到受害计算机上,执行恶意指令,从受害计算机上传数据至攻击者控制下的远程服务器等。
Dtrack 代码分析暴露出该攻击与早前一次黑客行动的相似性,而那次攻击行动与疑似朝鲜黑客组织 Lazarus 相关。
卡巴斯基宣称,Dtrack 恶意软件早在 9 月初便用于攻击印度金融及研究机构,可使攻击者收集和盗取被黑系统上的信息,包括击键记录、浏览器历史、IP 地址、网络信息、活跃进程和文件等。
印度国有企业印度核电公司的回应
在对最初的媒体报道的回应中,印度国有企业印度核电公司 (NPCIL) 在 10 月 29 日发布官方声明,否认该核电厂的控制系统遭到任何网络攻击。
NPCIL 的声明中写道:
我们要澄清,库丹库拉姆核电厂和其他印度核电厂控制系统是独立的,没有连接外部网络和互联网。对核电厂控制系统的任何网络攻击都是不可能的。
老实说,除了 “不可能” 那部分,这份声明没啥错误,Pukhraj 也只说到管理 IT 网络被黑,而不是控制着电厂的关键系统被黑,而且 Pukhraj 也确认并无控制系统受影响的任何证据。
然而,尽管主要在澄清错误媒体报道和震网类恶意软件攻击的谣言,NPCIL 却有意无意留下了一个有待解答的重要问题:如果不是控制系统,那么到底哪些系统真被黑了呢?
当坚决否认被自家政府官方打脸后,NPCIL 于 10 月 30 日发布第二份声明,证实确实发生了一起网络攻击事件,但仅限于一台接入互联网的管理用计算机,该计算机与核设施中任务关键系统是隔离的。
NPCIL 的声明中写道:NPCIL 系统中发现恶意软件属实。印度计算机应急响应小组 (CERT-In) 在 2019 年 9 月 4 日接到通告后即传达了此事。
调查显示,被感染 PC 属于接入连接互联网的网络的一名用户。该网络与关键内部网络隔离。这些网络都受到持续监视。
尽管朝鲜黑客开发了这款恶意软件,印度政府目前尚未将攻击归因于任何组织或国家。
攻击可能进行到了什么程度
出于安全考虑,核电厂的控制处理技术通常都不接入互联网,也不连接接入互联网或外部网络的任何其他计算机。
此类隔离系统也被称为物理隔离计算机,常见于生产或制造环境,维持管理和运营网络的隔离状态。
入侵连接互联网的管理系统并不能使黑客得以操纵物理隔离的控制系统,但肯定能使攻击者感染接入同一网络的其他计算机,盗取这些计算机上存储的信息。
如果我们从意图破坏核设施的黑客思路考虑,第一步应该是尽可能多地收集目标公司的相关信息,包括设施中所用设备的类型,用以确定跨越物理隔离的下一步路径。
Dtrack 恶意软件可能就是后续更大网络攻击的第一阶段,幸运的是在造成任何混乱之前就被发现并触发了警报。
但是,无论研究人员还是政府都没披露该恶意软件能够盗取的数据类型,对这些数据的分析有助于揭示该事件的严重性。
卡巴斯基报告: