自從媒體開始報道有黑客針對十幾家美國能源公共事業發起攻擊，其中包括一家堪薩斯核電廠，網絡安全社區就在挖掘周邊證據已確定案犯。因為不知道具體案犯身份，這些黑客活動有多種可能性：逐利網絡犯罪陰謀、間諜活動，或者類似造成烏克蘭大停電的那種黑客行動的前期試探性攻擊？

上周末，美國官員好歹解開了部分謎題，向《華盛頓郵報》透露稱，能源公共事業攻擊背后的黑客為俄羅斯政府服務。但該歸因引發了另一問題：攻擊電網的到底是俄羅斯哪一個黑客組織呢？

畢竟，俄羅斯可能是全球唯一一個，有多個知名黑客團隊數年來對能源公共事業下手的國家。每個團隊都有各自獨特的技術、寬泛的目標范圍和動機——而解密這些攻擊背后的組織，可輔助確定這最近一次基礎設施黑客攻擊大爆發的預期結局。

隨著網絡安全世界的蘇聯問題專家對答案的探尋，我們對可能發起這些攻擊的組織也有所了解。

一、能量熊(Energetic Bear)

俄羅斯黑客團隊序列中的主要候選人，是被稱為“能量熊”的一組網絡間諜，該組織的其他花名還有：蜻蜓(DragonFly)、考拉(Kaola)、鋼鐵自由( Iron Liberty )。其最先是由安全公司CrowdStrike在2014年發現的，該組織最初似乎是從2010年開始不加選擇地攻擊幾十個國家的數百個目標，用的是所謂“水坑”攻擊，感染網站，植入Havex木馬到訪問者主機中。

很快，安全社區就發現這伙黑客有著更具體的側重點：他們還用網絡釣魚郵件針對工業控制軟件廠商，將Havex偷偷植入到客戶下載中。安全公司火眼在2014年發現，該組織至少攻破了4家工控目標，可能掌握了從電網系統到制造工廠一切事物的訪問權。

CrowdStrike情報副總裁亞當·梅耶稱，吉隆坡服務器 大馬伺服器，該組織至少部分聚焦在對油氣行業的大范圍監視上。從天然氣生產商，到往能源金融公司運送液態天然氣和石油的公司，都在“能量熊”的目標范圍內。

CrowdStrike還發現，該組織所有代碼中含有俄語證據，而且是按莫斯科正常工作時間運作的。所有這些都表明，俄羅斯政府可能利用了該組織來保護其石油化工行業，并更好地行使其作為能源供應商的權力。“如果你威脅要切斷通往某國的天然氣供應，你想要知道該威脅到底有多嚴重，以及如何有效利用這一點。”

但安全公司指出，該組織的目標也包含有電力公共事業，“能量熊”的某些惡意軟件具備掃描工業網絡中基礎設施設備的能力，提升了其不僅僅收集行業情報，也為未來破壞性攻擊執行偵察的可能性。火眼某研究團隊負責人約翰·霍特奎斯特說：“我們認為他們的目標是控制系統，而且我們不認為這背后有什么令人信服的情報原因。做這個又不是為了了解天然氣價格。”

2014年夏天，在CrowdStrike、賽門鐵克和其他安全公司發布了關于“能量熊”基礎設施攻擊的一系列分析后，該組織突然消失了。

二、沙蟲(Sandworm)

只有一個俄羅斯黑客組織真正引發了現實世界的停電：網絡安全分析師廣泛認為，該名為“沙蟲(Sandworm)”，也稱為“伏都熊( Voodoo Bear )”和“電信僵尸(Telebots)”的黑客團隊，一手導演了2015和2016年冬的烏克蘭電力設施攻擊，這些攻擊使得成千上萬戶家庭在寒冬斷電。

盡管有此獨特區別，“沙蟲”更廣泛的目標似乎并非電力公共事業或能源產業。相反，它花了過去3年時間專門攻擊烏克蘭，也就是自2014年入侵了克里米亞半島后與俄羅斯進入戰爭狀態的國家。除了這兩次斷電攻擊，該組織自2015年來幾乎肆虐了烏克蘭社會的每一個行業，摧毀了媒體公司的數百臺電腦，刪除或永久加密了烏克蘭政府機構TB級數據，臺灣主機 臺灣伺服器，癱瘓了包括烏克蘭鐵路售票系統在內的基礎設施。

火眼和ESET等安全公司的網絡安全研究人員還指出，最近致癱烏克蘭和世界各國數千網絡的NotPetya勒索軟件大流行，同樣符合“沙蟲”用不帶解密選項的“虛假”勒索軟件感染受害者的歷史。

但在所有這些混亂當中，“沙蟲”還是顯露出了對電網的特殊興趣。火眼將該組織與2014年發現的一系列對美國能源公共事業的入侵聯系在一起，這些入侵中使用的“黑色能量( Black Energy )”惡意軟件，與“沙蟲”隨后在烏克蘭斷電攻擊中使用的相同。