多年以来，全球电力基础设施长期遭受黑客团伙的侵扰，甚至被成功入侵。但由俄罗斯军事情报部门支持的Sandworm团伙明显更为激进，该团伙曾在乌克兰造成了大规模断电。近期，高度关注电力设施安全的Dragos公司发布警告，提到与Sandworm有关联的黑客组织多年来一直积极针对美国能源系统。

　　近日，工控安全厂商Dragos发布了关于工业控制系统安全现状的年度报告，其中列出针对美国电力基础设施系统的四大新兴外国黑客团伙。Dragos公司强调，有三支新兴团伙已经将矛头指向美国工业控制系统，其中最值得关注的为被Dragos命名为Kamacite的团伙，据调查其很有可能与俄罗斯GRU下辖的Sandworm团伙有所关联。

　　Dragos的研究人员称，Kamacite以往曾担任Sandworm的“侦察”小组，专注于在目标网络上建立登陆点，之后再将访问权移交给其他Sandworm黑客。Dragos还提到，自2017年以来，Kamacite长期滋扰各美国电力企业、石油与天然气以及其他工业企业。

　　Dragos公司威胁情报副总裁、前美国国安局分析师Sergio Caltagirone解释道，“该团伙一直与美国电力实体开展对抗，希望在攻击目标的IT体系之内建立持久立足点。”过去四年以来，该团伙已经数次成功入侵美国目标设施，并至少在一段时间内保持着内部驻留能力。

　　Dragos提到，自2017年以来，Kamacite长期滋扰各美国电力企业、石油与天然气以及其他工业企业。

　　Caltagirone表示，Dragos公司此前仅证实了Kamacite能够成功入侵美国本土网络，但一直没能发现由此引发的实质性破坏事件。不过作为Kamacite的“上线”，Sandworm倒是非常高调，曾先后两次在乌克兰引发大规模停电——第一次是在2015年底，导致25万乌克兰人身陷黑暗；之后是2016年底，导致乌克兰首都基辅部分断电。结合过往经验，再加上Kamacite与Sandworm之间的这层关系，令人不得不对美国电网的安全态势感到担忧。

　　Caltagirone表示，“在意识到Kamacite开始以工业网络或者工业实体为目标之后，首先可以肯定，他们肯定不仅仅是在收集信息——必须做出更进一步的假设。Kamacite拥有可怕的工业控制系统破坏能力，也很清楚怎么把自己的入侵技巧与其他黑客攻击组织融合起来。”

　　除了美国本土的电网设施入侵问题之外，Dragos还将Kamacite与一系列欧洲目标联系起来。除广为人知的乌克兰电网攻击事件之外，还包括2017年针对德国电力部门的黑客攻击活动。Caltagirone补充道，“在2017年至2018年之间，Kamacite曾成功对西欧地区的工业环境进行过两轮入侵。”

　　Dragos公司警告称，Kamacite的主要入侵工具一直是带有恶意载荷的鱼叉式网络钓鱼邮件；此外，他们还会对微软服务（例如Office 365与Active Directory）以及虚拟专用网络中的云登录凭证实施暴力破解。一旦获得初步立足点，该团伙就会使用有效用户账户维持访问权限，再配合凭证窃取工具Mimikatz在受害者网络之内进一步“反复横跳”。

　　目前，Kamacite与Sandworm之间的关系还不十分明确，但Sandworm已经被美国国安局（NSA）与美国司法部定性为GRU下辖的74455单位。长期以来，威胁情报企业一直很难对GRU这类形迹诡秘的情报机构所下辖的各黑客团伙做出确切划分。这一次，Dragos决定以Kamacite命名出独立的小组，把它与另一个同Sandworm有所关联的Electrum小组区分开来。根据Dragos的描述，Electrum属于“影响”小组，即通过破坏性载荷实现具体影响，其“成果”包括Crash Override（又称Industroyer）恶意软件。这一恶意软件曾于2016年引发基辅市停电，据猜测其可能会禁用安全系统、进而摧毁电网设备。

　　换句话说，Dragos希望能让问题更加具体，尝试将其他研究人员及政府机构所统称的Sandworm组织划分成Kamacite、Electrum乃至更多具体行动单位。Caltagirone认为，“其中一个团伙负责初始入侵，另一个团伙负责接力并实施破坏。我们还观察过双方的独立攻击行动，很明显二者并不太擅长对方的工作。”

　　我们随后就此事向FireEye以及CrowdStrike等其他威胁情报厂商进行了求证，但各方均表示无法证实Dragos关于Sandworm针对美国设施发动入侵的说法。唯一的支持证据，只有FireEye此前曾确认GRU下辖的APT28（又称Fancy Bear）团伙曾针对美国组织过大规模入侵活动，这方面消息也得到联邦调查局去年披露的通报邮件的证实。另据美国能源部发布的一份咨询报告，Dragos当时就提到APT28团伙曾与另一支入侵小组使用同一套命令控制基础设施，且该入侵小组曾于2019年尝试攻击美国的“能源实体”。鉴于APT28之前确实曾与Sandworm联手合作，Dragos决定在新一轮报告中把2019年发现的“入侵小组”定名为Kamacite，希望更好地区分这波针对美国的多年攻击浪潮中的各个参与方。

　　Dragos还在报告中提到另外三个针对美国工业控制系统的全新黑客团伙。首先是Vanadinite，其似乎与极具知名度的国家黑客团伙Winnti有所关联。Dragos认为Vanadinite曾在攻击当中利用ColdLock勒索软件破坏包括能源企业在内的多个中国台湾的目标。但Dragos同时提到，Vanadinite的攻击范围相当广泛，曾借助VPN安全漏洞等多种手段向欧洲、北美以及澳大利亚等区域的全球能源、制造与运输业目标发动侵袭。

　　第二个新兴团伙为Talonite，其似乎同样使用包含恶意软件的鱼叉式网络钓鱼邮件向北美电力企业发动攻势。该团伙还与2019年由Proofpoint发现的Lookback恶意软件钓鱼攻击有关。第三个新兴团伙被Dragos命名为Stibnite，先后使用网络钓鱼网站与恶意电子邮件附件攻击过阿塞拜疆的电力公司与风电场，但目前尚未发现其曾对美国本土设施发动过任何侵袭。

　　虽然在整个2020年中，这些以全球工业控制系统为目标的黑客团伙似乎没有引起过任何实质性的破坏影响，但Dragos公司警告称，这类团伙在数量上的不断增长代表着一种令人担忧的态势。Caltagirone指出，就在今年2月初，某身份不明的黑客曾针对佛罗里达州奥德斯马市的一家小型水处理厂发动过相对粗糙的入侵攻击，企图把含有过量苛性碱的自来水配送给这座拥有15000名居民的城镇。在Caltagirone看来，这类小型基础设施目标长期缺乏必要的网安保护，一旦遇上Kamactie这样的专业黑客组织，即使没有Electrum等小组的配合也很可能引发广泛威胁。

　　Caltagirone还强调，即使攻击手段不那么高明，威胁团伙的不断增长还是会引发更多隐患。在他看来，自从“震网”（Stuxnet）用巨大的现实影响证明工业黑客攻击的威能之后，工业控制系统类黑客团伙的数量就在持续攀升。Caltagirone最后总结道，“这类团伙持续涌现且并没有消亡的趋势。着眼于未来三到四年，这类黑客组织很可能达到顶峰，并带来一场影响深远的大灾难。”