自從媒體開始報道有黑客針對十幾家美國能源公共事業(yè)發(fā)起攻擊，其中包括一家堪薩斯核電廠，網(wǎng)絡(luò)安全社區(qū)就在挖掘周邊證據(jù)已確定案犯。因為不知道具體案犯身份，這些黑客活動有多種可能性：逐利網(wǎng)絡(luò)犯罪陰謀、間諜活動，或者類似造成烏克蘭大停電的那種黑客行動的前期試探性攻擊？

上周末，美國官員好歹解開了部分謎題，向《華盛頓郵報》透露稱，能源公共事業(yè)攻擊背后的黑客為俄羅斯政府服務(wù)。但該歸因引發(fā)了另一問題：攻擊電網(wǎng)的到底是俄羅斯哪一個黑客組織呢？

畢竟，俄羅斯可能是全球唯一一個，有多個知名黑客團隊數(shù)年來對能源公共事業(yè)下手的國家。每個團隊都有各自獨特的技術(shù)、寬泛的目標(biāo)范圍和動機——而解密這些攻擊背后的組織，可輔助確定這最近一次基礎(chǔ)設(shè)施黑客攻擊大爆發(fā)的預(yù)期結(jié)局。

隨著網(wǎng)絡(luò)安全世界的蘇聯(lián)問題專家對答案的探尋，我們對可能發(fā)起這些攻擊的組織也有所了解。

一、能量熊(Energetic Bear)

俄羅斯黑客團隊序列中的主要候選人，是被稱為“能量熊”的一組網(wǎng)絡(luò)間諜，該組織的其他花名還有：蜻蜓(DragonFly)、考拉(Kaola)、鋼鐵自由( Iron Liberty )。其最先是由安全公司CrowdStrike在2014年發(fā)現(xiàn)的，該組織最初似乎是從2010年開始不加選擇地攻擊幾十個國家的數(shù)百個目標(biāo)，用的是所謂“水坑”攻擊，感染網(wǎng)站，植入Havex木馬到訪問者主機中。

很快，安全社區(qū)就發(fā)現(xiàn)這伙黑客有著更具體的側(cè)重點：他們還用網(wǎng)絡(luò)釣魚郵件針對工業(yè)控制軟件廠商，將Havex偷偷植入到客戶下載中。安全公司火眼在2014年發(fā)現(xiàn)，該組織至少攻破了4家工控目標(biāo)，可能掌握了從電網(wǎng)系統(tǒng)到制造工廠一切事物的訪問權(quán)。

CrowdStrike情報副總裁亞當(dāng)·梅耶稱，吉隆坡服務(wù)器 大馬伺服器，該組織至少部分聚焦在對油氣行業(yè)的大范圍監(jiān)視上。從天然氣生產(chǎn)商，到往能源金融公司運送液態(tài)天然氣和石油的公司，都在“能量熊”的目標(biāo)范圍內(nèi)。

CrowdStrike還發(fā)現(xiàn)，該組織所有代碼中含有俄語證據(jù)，而且是按莫斯科正常工作時間運作的。所有這些都表明，俄羅斯政府可能利用了該組織來保護其石油化工行業(yè)，并更好地行使其作為能源供應(yīng)商的權(quán)力。“如果你威脅要切斷通往某國的天然氣供應(yīng)，你想要知道該威脅到底有多嚴(yán)重，以及如何有效利用這一點。”

但安全公司指出，該組織的目標(biāo)也包含有電力公共事業(yè)，“能量熊”的某些惡意軟件具備掃描工業(yè)網(wǎng)絡(luò)中基礎(chǔ)設(shè)施設(shè)備的能力，提升了其不僅僅收集行業(yè)情報，也為未來破壞性攻擊執(zhí)行偵察的可能性?；鹧勰逞芯繄F隊負(fù)責(zé)人約翰·霍特奎斯特說：“我們認(rèn)為他們的目標(biāo)是控制系統(tǒng)，而且我們不認(rèn)為這背后有什么令人信服的情報原因。做這個又不是為了了解天然氣價格。”

2014年夏天，在CrowdStrike、賽門鐵克和其他安全公司發(fā)布了關(guān)于“能量熊”基礎(chǔ)設(shè)施攻擊的一系列分析后，該組織突然消失了。

二、沙蟲(Sandworm)

只有一個俄羅斯黑客組織真正引發(fā)了現(xiàn)實世界的停電：網(wǎng)絡(luò)安全分析師廣泛認(rèn)為，該名為“沙蟲(Sandworm)”，也稱為“伏都熊( Voodoo Bear )”和“電信僵尸(Telebots)”的黑客團隊，一手導(dǎo)演了2015和2016年冬的烏克蘭電力設(shè)施攻擊，這些攻擊使得成千上萬戶家庭在寒冬斷電。

盡管有此獨特區(qū)別，“沙蟲”更廣泛的目標(biāo)似乎并非電力公共事業(yè)或能源產(chǎn)業(yè)。相反，它花了過去3年時間專門攻擊烏克蘭，也就是自2014年入侵了克里米亞半島后與俄羅斯進入戰(zhàn)爭狀態(tài)的國家。除了這兩次斷電攻擊，該組織自2015年來幾乎肆虐了烏克蘭社會的每一個行業(yè)，摧毀了媒體公司的數(shù)百臺電腦，刪除或永久加密了烏克蘭政府機構(gòu)TB級數(shù)據(jù)，臺灣主機 臺灣伺服器，癱瘓了包括烏克蘭鐵路售票系統(tǒng)在內(nèi)的基礎(chǔ)設(shè)施。

火眼和ESET等安全公司的網(wǎng)絡(luò)安全研究人員還指出，最近致癱烏克蘭和世界各國數(shù)千網(wǎng)絡(luò)的NotPetya勒索軟件大流行，同樣符合“沙蟲”用不帶解密選項的“虛假”勒索軟件感染受害者的歷史。

但在所有這些混亂當(dāng)中，“沙蟲”還是顯露出了對電網(wǎng)的特殊興趣。火眼將該組織與2014年發(fā)現(xiàn)的一系列對美國能源公共事業(yè)的入侵聯(lián)系在一起，這些入侵中使用的“黑色能量( Black Energy )”惡意軟件，與“沙蟲”隨后在烏克蘭斷電攻擊中使用的相同。