當地時(shí)間10月30日，印度核電公司（NuclearPower Corporation）證實(shí)，庫丹庫拉姆核電站（Kudankulam）確實(shí)感染了朝鮮政府資助的黑客組織創(chuàng )建的惡意軟件。以針對“核電站”的國家級網(wǎng)絡(luò )攻擊，再次將我們的視線(xiàn)引導到網(wǎng)絡(luò )戰，同時(shí)它以“核”級別的高危性事件，加劇了維護關(guān)鍵信息系統國防大安全的緊迫性。

庫丹庫拉姆核電廠(chǎng)，又稱(chēng)Koodankulam NPP或KKNPP，是位于印度泰米爾納德邦Kudankulam的最大核電站，該廠(chǎng)建設于2002年。

這一次，它成為國家級網(wǎng)絡(luò )攻擊“風(fēng)暴”的核心。

一波三折的故事線(xiàn)

Kudankulam核電站確認被國家級黑客攻擊

10月28日，也就是本周一就有人在Twitter上發(fā)文稱(chēng)：Kudankulam核電站（KNPP）可能已經(jīng)感染了危險的惡意軟件。

但當時(shí)，KNPP的官員否認他們遭受了任何惡意軟件感染，并于周二（10月29日）發(fā)表聲明將這些推文描述為“虛假信息”，并稱(chēng)“對發(fā)電廠(chǎng)進(jìn)行網(wǎng)絡(luò )攻擊是‘不可能的’ ”。

然而，僅一天時(shí)間，這一被官方稱(chēng)之為“虛假消息”的事件卻被自己推翻。10月30日，KNPP的母公司NPCIL 在另一份聲明中承認Kudankulam核電站確實(shí)感染了朝鮮政府資助的黑客組織創(chuàng )建的惡意軟件。

不僅官方證實(shí)，印度國家技術(shù)研究組織（NTRO）的前安全分析師Pukhraj Singh也給出了實(shí)證，他指出最近在VirusTotal上傳的樣本實(shí)際上與KNPP上的惡意軟件感染有關(guān)。同時(shí)，他還表示：特定的惡意軟件樣本，包括KNPP內部網(wǎng)絡(luò )的硬編碼憑據，這些證據表明該惡意軟件經(jīng)過(guò)專(zhuān)門(mén)編譯以在電廠(chǎng)的IT網(wǎng)絡(luò )內部傳播和運行。

在進(jìn)一步研究中，幾位安全研究人員將該惡意軟件識別為Dtrack的一種版本，Dtrack是由朝鮮精英黑客組織Lazarus Group開(kāi)發(fā)的后門(mén)木馬。

值得注意的是，該惡意軟件在今年9月4日前就已被發(fā)現其針對印度核電廠(chǎng)的網(wǎng)絡(luò )攻擊活動(dòng)。當時(shí)名印度的威脅情報分析師Singh曾在Twitter上告知此事。

隨即在9月23日，卡巴斯基發(fā)布了一則關(guān)于Dtrack的惡意代碼報告，報告將DTrackmalware描述為可用于監視受害者和竊取感興趣的數據，并稱(chēng)該惡意軟件支持通常在遠程訪(fǎng)問(wèn)木馬（RAT）中實(shí)現的功能，有效負載可執行文件支持的一些功能列表如下：

· 鍵盤(pán)記錄

· 檢索瀏覽器歷史記錄

· 收集主機IP地址，有關(guān)可用網(wǎng)絡(luò )和活動(dòng)連接的信息

· 列出所有正在運行的進(jìn)程

· 列出所有可用磁盤(pán)卷上的所有文件

從其功能可以明顯看出，Dtrack通常用于偵察目的，并用作其他惡意軟件有效載荷的投遞器。

Dtrack隸屬于拉撒路集團（Lazarus Group）。這是一家受朝鮮政府追捧的知名網(wǎng)絡(luò )間諜組織。

拉撒路（Lazarus）小組又名APT-C-26，是從2009年以來(lái)一直處于活躍的APT組織。從歷史上看，該小組主要以經(jīng)濟利益為目的，攻擊金融等行業(yè)，并逐步對多個(gè)大型數字貨幣交易進(jìn)行攻擊滲透。如：

——2014年，索尼影視娛樂(lè )公司遭到黑客襲擊，美國政府出面譴責Lazarus的行為；

——2016年2月，一個(gè)未知的攻擊者試圖從孟加拉國中央銀行竊取8100萬(wàn)美金，事后多篇分析報道稱(chēng)該事件與Lazarus組織有關(guān)；

——2016年5月，BAE公司遭到襲擊，公布了一份有關(guān)攻擊者使用的擦除程序的代碼分析，事后Anomali實(shí)驗室確認這一工具與Lazarus組織的擦除工具代碼極為相似；

——2017年2月份，波蘭媒體的一篇報道打破了關(guān)于一次銀行攻擊事件的平靜，賽門(mén)鐵克從波蘭受攻擊的金融部門(mén)提取到Lazarus組織慣用的擦除工具（根據字符串重用的線(xiàn)索）；

——2019年3月，360安全大腦率先追蹤溯源發(fā)現該組織針對OKEX等多家知名數字貨幣交易所發(fā)起的攻擊行動(dòng)。

如今，這個(gè)有著(zhù)國家級背景的黑客組織攻擊對象再擴大從金融數字貨幣，轉向能源和工業(yè)領(lǐng)域的目標。

外文參考資料：

https://www.zdnet.com/article/confirmed-north-korean-malware-found-on-indian-nuclear-plants-network/

來(lái)源：國際安全智庫