當地時間10月30日，印度核電公司（NuclearPower Corporation）證實，庫丹庫拉姆核電站（Kudankulam）確實感染了朝鮮政府資助的黑客組織創建的惡意軟件。以針對“核電站”的國家級網絡攻擊，再次將我們的視線引導到網絡戰，同時它以“核”級別的高危性事件，加劇了維護關鍵信息系統國防大安全的緊迫性。

庫丹庫拉姆核電廠，又稱Koodankulam NPP或KKNPP，是位于印度泰米爾納德邦Kudankulam的最大核電站，該廠建設于2002年。

這一次，它成為國家級網絡攻擊“風暴”的核心。

一波三折的故事線

Kudankulam核電站確認被國家級黑客攻擊

10月28日，也就是本周一就有人在Twitter上發文稱：Kudankulam核電站（KNPP）可能已經感染了危險的惡意軟件。

但當時，KNPP的官員否認他們遭受了任何惡意軟件感染，并于周二（10月29日）發表聲明將這些推文描述為“虛假信息”，并稱“對發電廠進行網絡攻擊是‘不可能的’ ”。

然而，僅一天時間，這一被官方稱之為“虛假消息”的事件卻被自己推翻。10月30日，KNPP的母公司NPCIL 在另一份聲明中承認Kudankulam核電站確實感染了朝鮮政府資助的黑客組織創建的惡意軟件。

不僅官方證實，印度國家技術研究組織（NTRO）的前安全分析師Pukhraj Singh也給出了實證，他指出最近在VirusTotal上傳的樣本實際上與KNPP上的惡意軟件感染有關。同時，他還表示：特定的惡意軟件樣本，包括KNPP內部網絡的硬編碼憑據，這些證據表明該惡意軟件經過專門編譯以在電廠的IT網絡內部傳播和運行。

在進一步研究中，幾位安全研究人員將該惡意軟件識別為Dtrack的一種版本，Dtrack是由朝鮮精英黑客組織Lazarus Group開發的后門木馬。

值得注意的是，該惡意軟件在今年9月4日前就已被發現其針對印度核電廠的網絡攻擊活動。當時名印度的威脅情報分析師Singh曾在Twitter上告知此事。

隨即在9月23日，卡巴斯基發布了一則關于Dtrack的惡意代碼報告，報告將DTrackmalware描述為可用于監視受害者和竊取感興趣的數據，并稱該惡意軟件支持通常在遠程訪問木馬（RAT）中實現的功能，有效負載可執行文件支持的一些功能列表如下：

· 鍵盤記錄

· 檢索瀏覽器歷史記錄

· 收集主機IP地址，有關可用網絡和活動連接的信息

· 列出所有正在運行的進程

· 列出所有可用磁盤卷上的所有文件

從其功能可以明顯看出，Dtrack通常用于偵察目的，并用作其他惡意軟件有效載荷的投遞器。

Dtrack隸屬于拉撒路集團（Lazarus Group）。這是一家受朝鮮政府追捧的知名網絡間諜組織。

拉撒路（Lazarus）小組又名APT-C-26，是從2009年以來一直處于活躍的APT組織。從歷史上看，該小組主要以經濟利益為目的，攻擊金融等行業，并逐步對多個大型數字貨幣交易進行攻擊滲透。如：

——2014年，索尼影視娛樂公司遭到黑客襲擊，美國政府出面譴責Lazarus的行為；

——2016年2月，一個未知的攻擊者試圖從孟加拉國中央銀行竊取8100萬美金，事后多篇分析報道稱該事件與Lazarus組織有關；

——2016年5月，BAE公司遭到襲擊，公布了一份有關攻擊者使用的擦除程序的代碼分析，事后Anomali實驗室確認這一工具與Lazarus組織的擦除工具代碼極為相似；

——2017年2月份，波蘭媒體的一篇報道打破了關于一次銀行攻擊事件的平靜，賽門鐵克從波蘭受攻擊的金融部門提取到Lazarus組織慣用的擦除工具（根據字符串重用的線索）；

——2019年3月，360安全大腦率先追蹤溯源發現該組織針對OKEX等多家知名數字貨幣交易所發起的攻擊行動。

如今，這個有著國家級背景的黑客組織攻擊對象再擴大從金融數字貨幣，轉向能源和工業領域的目標。

外文參考資料：

https://www.zdnet.com/article/confirmed-north-korean-malware-found-on-indian-nuclear-plants-network/

來源：國際安全智庫