信息來源：4hou

一、事件背景

核電站的計(jì)算機(jī)上如果駐留惡意軟件會造成什么后果？近日，發(fā)現(xiàn)惡意軟件Dtrack被植入了了印度Kudankulam核電站的網(wǎng)絡(luò)中。

研究人員正在分析Dtrack的傳播路徑，有人說它是從網(wǎng)絡(luò)釣魚電子郵件進(jìn)入的。

二、事件分析

1、追蹤Dtrack

德勤阿根廷公司分析師加布里埃拉·尼古拉（Gabriela Nicolao）監(jiān)測到最新惡意軟件Dtrack，存在于印度最大的核電廠的計(jì)算機(jī)上。

尼古拉在布宜諾斯艾利斯接受采訪時對《阿切爾新聞》說：“如果核設(shè)施出現(xiàn)問題，它將對現(xiàn)實(shí)生活產(chǎn)生巨大影響?！?

幸運(yùn)的是，Nicolao在11月在阿根廷的一次會議上所解釋，Dtrack惡意軟件并沒有進(jìn)入實(shí)際控制核電站的機(jī)器，而是進(jìn)入了管理計(jì)算機(jī)。

但是此事件使人們對惡意軟件如何進(jìn)入此敏感設(shè)施提出了疑問。

印度Kudankulam核電站的控制室

2、Dtrack是如何進(jìn)入的？

韓國研究人員說，這些黑客組織是來自朝鮮的Kimsuky，冒充電子郵件偽裝來自印度核能組織（如原子能監(jiān)管局和Bhabha原子研究中心）員工的電子郵件，研究人員在Twitter上發(fā)布了一封電子郵件，該電子郵件似乎是網(wǎng)上誘餌之一

“很抱歉打擾您。從美國寄給我們一份監(jiān)管文件，這是不公開的，我們希望您檢查該文檔并提出您的意見?！彪娮余]件中寫道，誘使收件人單擊附件。

根據(jù)Issue Makers Lab的信息，將釣魚電子郵件發(fā)送到SA Bhardwaj。

3、被黑的服務(wù)器

來自印度的網(wǎng)絡(luò)安全專家Yash Kadakia告訴Archer News，他分析了攻擊者黑客發(fā)送的網(wǎng)絡(luò)誘騙服務(wù)器。他發(fā)現(xiàn)，他們向包括印度航天和核計(jì)劃在內(nèi)的五個機(jī)構(gòu)的十幾個人發(fā)送了網(wǎng)絡(luò)釣魚電子郵件。

他們的目標(biāo)包括印度原子能管理委員會前主席SA Bhardwaj和該國原子能委員會前主席Anil Kakodkar。網(wǎng)絡(luò)釣魚持續(xù)了大約兩年時間。

據(jù)Kadakia稱，在某個時候，與核電站有聯(lián)系的人單擊了，電子郵件將Dtrack下載到他或她的計(jì)算機(jī)上。然后，印度政府說，當(dāng)該人出于“管理目的”連接到Kudankulam網(wǎng)絡(luò)時，Dtrack會在工廠計(jì)算機(jī)上運(yùn)行。

網(wǎng)絡(luò)情報(bào)分析師Pukhraj Singh于9月7日以秘密推文宣布了這一事件，印度政府隨后在10月30日的新聞稿中證實(shí)了這一事件。

上圖為一位網(wǎng)絡(luò)情報(bào)分析師在9月7日發(fā)布了有關(guān)Kudankulam惡意軟件案的推文

4、Dtrack是如何工作的？

Nicolao說，該惡意軟件收集信息并將其發(fā)送到另一臺計(jì)算機(jī)，這是核電站網(wǎng)絡(luò)內(nèi)的另一臺計(jì)算機(jī)。然后，Dtrack收集信息并將其發(fā)送回攻擊者， Dtrack是一種具有很多功能的惡意軟件。

根據(jù)Nicolao的說法，這很可能是針對性攻擊，因?yàn)楣粽咴谄浯a中使用了來自工廠的憑據(jù)。

Issue Makers Lab的推文顯示了KKNPP或Kudankulam核電站的用戶名。

5、其他版本

研究人員還發(fā)現(xiàn)了其他版本的Dtrack。

卡巴斯基在9月份報(bào)道稱，他們稱為Lazarus小組的黑客在印度使用Dtrack作為間諜工具，并使用ATMDtrack  從印度的ATM機(jī)上竊取卡號。

卡巴斯基將拉撒路組織與對韓國，美國和其他國家的攻擊聯(lián)系起來。

該公司的研究人員還發(fā)現(xiàn)與2013年的DarkSeoul行動有關(guān)，攻擊者在韓國電視臺和銀行中襲擊了30,000臺計(jì)算機(jī)，從而阻止人們?nèi)″X。

卡巴斯基的康斯坦丁·佐科夫（Konstantin Zykov）寫道： “似乎他們重用了部分舊代碼來攻擊印度的金融部門和研究中心。”

據(jù)賽門鐵克稱，2017年臭名昭著的WannaCry勒索軟件攻擊中使用的某些工具與Lazarus組“緊密聯(lián)系”。

Zykov說：“就惡意軟件開發(fā)而言，我們能夠找到的大量Dtrack樣本表明，Lazarus組是最活躍的APT組之一。”

在ATM機(jī)上的印度盧比

6、Dtrack進(jìn)球

盡管Dtrack無法操作核反應(yīng)堆，但仍可能造成傷害。

《亞洲時報(bào)》報(bào)道，Dtrack攻擊者是在收集印度該廠的燃料產(chǎn)量，這是評估該國民用和軍事核能力計(jì)劃的一部分。而且，一旦攻擊者知道了工廠的工作方式，他們就可以返回更多信息，包括嘗試自己控制機(jī)器。

“這是一種偵察工具，”尼古拉說?！斑@意味著這可能是更大攻擊的第一步?！?

印度庫丹庫拉姆邦的庫丹庫拉姆核電站

印度政府表示，其關(guān)鍵的內(nèi)部網(wǎng)絡(luò)（運(yùn)行核設(shè)備的計(jì)算機(jī)）受到保護(hù)，因?yàn)樗鼈兾催B接到Internet。

但是安全專家說，即使是物理隔絕的系統(tǒng)也會受到損害。

他們指出了2010年的Stuxnet攻擊，其中Stuxnet惡意軟件通過驅(qū)動器被帶入伊朗核設(shè)施，并摧毀了數(shù)百臺離心機(jī)。

三、安全措施

據(jù)新聞報(bào)道，印度政府正在做出改變，加強(qiáng)網(wǎng)絡(luò)安全。

Issue Makers Lab說，4月份，Kimsuky黑客試圖竊取印度新型燃燒reactor的核反應(yīng)堆的設(shè)計(jì)信息。

實(shí)驗(yàn)室說，在一月份，他們試圖襲擊比利時核研究中心的研究人員。

11月，  審計(jì)師發(fā)現(xiàn)  美國能源部如何管理其核設(shè)施的網(wǎng)絡(luò)安全方面存在漏洞。

監(jiān)察長辦公室在報(bào)告中說：“如果沒有改善措施來解決我們報(bào)告中指出的漏洞，該部的信息系統(tǒng)和數(shù)據(jù)可能會遭到泄露，丟失或修改?！?