E安全3月5日訊 工業網絡安全廠商 Dragos 公司2018年3月1日發布報告表示，目前至少有五個高水平威脅集團的惡意活動主要集中在工業控制系統（簡稱ICS）身上。

五個黑客組織的詳細介紹及比較

雖然非針對性惡意軟件入侵工業系統的狀況并不罕見，但目前此類針對性攻擊同樣正變得愈發普遍。Dragos 公司目前正在持續追蹤五個威脅組織，其皆曾經直接攻擊工業控制系統或者對收集此類信息的相關信息表現出興趣。

Electrum

該公司追蹤的惡意組織之一是 Electrum，該組織最知名的“壯舉”，當數2016年12月利用 CRASh OVERRIDE/Industroyer惡意軟件導致烏克蘭大規模停電。Electrum 與 Sandworm Team 可能存在關聯，其中后者被廣泛認定為造成烏克蘭2015年停電事故的幕后操縱者。而俄羅斯政府則被指控為與這兩輪攻擊事件有關。

盡管自2016年針對烏克蘭電力設施的攻擊以來，Electrum 再沒有發動任何大規模攻擊，但 Dragos 公司表示其仍然繼續保持活躍，且有證據表明其進一步擴大了打擊目標范圍。Dragos 公司在其報告中指出，“盡管 Electrum 以往的惡意活動主要針對烏克蘭，但從其它小范圍惡意事件信息以及該集團同 SANDWORM 間的關聯來看，我們認為 Electrum 很可能在支持者的授意下被‘另委重任’。”

Covellite

Dragos 公司關注的另一個惡意組織為 Covellite ，其與朝鮮旗下惡名昭著的 Lazarus 集團有關。Dragos 公司的研究人員們自2017的9月起開始觀察 Covellite，當時其正針對美國各電網公司發動具有高度針對性的網絡釣魚攻擊。研究人員們隨后發現，該集團亦可能對歐洲、北美以及東亞地區的多個組織機構發動了攻擊。

與 Electrum 不同，Covellite 截至目前仍未使用過任何專門針對工業系統的惡意軟件。

Dymalloy

Dragos 公司的報告還總結了 Dymalloy 集團的活動。Dymalloy 集團在對 Dragonfly 行動的調查中漸漸浮出水面，亦被稱為 Crouching Yeti 以及 Energetic Bear。所謂 Dragonfly 行動，很可能是俄羅斯在境外利用高復雜度惡意軟件 Havex 實施的一系列攻擊舉措——近期，美國已經有多家能源廠商發現其控制系統遭遇 Dragonfly 行動的侵擾。

Dragos 公司認為，Dymalloy 與 Dragonfly 并無關聯（至少沒有直接關聯），因為前者使用的工具并不像 Havex 那樣先進。然而，Dymalloy 黑客們確實設法入侵了位于土耳其、歐洲以及北美的多家工業控制系統廠商，并獲得了對 HMI （即人機接口）設備的訪問權限。Dymalloy 自2017年以來在活躍度方面似乎有所降低，這可能是為了回避媒體以及安全研究人員對其給予的高度關注。

Chrysene

自2017年年中以來，Dragos 公司還一直在持續追蹤 Chrysene 集團。該集團的主要業務集中在北美、西歐、以色列以及伊拉克，且特別關注電力、石油與天然氣等行業機構。

Chrysene 目前繼續保持活躍，且曾經使用伊朗網絡間諜團體 OilRig 與 Greenbug 相關惡意框架的一種變種。

Dragos 公司指出，“盡管 Chrysene 的惡意軟件與其它威脅組織所使用的類似工具相比，在功能性方面得到了顯著增強，但我們尚未觀察到該惡意集團使用其中專門針對工業控制系統的功能。而且其截至目前的所有活動似乎都集中在對工業控制系統相關組織實施 IT 滲透與間諜活動身上。”

值得注意的是，最近發現的一種被稱為 Trisis/Triton 的惡意軟件屬于專門用于破壞安全儀表系統（簡稱SIS）的首種威脅工具，且部分研究人員認為其與伊朗方面存在關聯。

Magnallium

引發 Dragos 公司關注的最后一個以工業控制系統為主要目標的威脅組織為Magnallium，其同樣與伊朗有所聯系。自 FireEye 公司以 APT33 為代碼對其惡意活動發布報告后，Dragos 方面就開始追蹤這一惡意集團。

盡管部分媒體在報道中認為 APT33 的主要打擊目標集中在工業控制系統以及關鍵基礎設施層面，但 Dragos 公司的調查結果顯示，該組織似乎并不具備任何針對工業控制系統的攻擊能力。

Dragos 公司表示，盡管這些惡意集團當中，只有一個能夠通過專門針對工業控制系統的惡意軟件影響其網絡運營，但全部五個集團都至少參與到與工業控制系統環境相關的偵察與情報收集活動當中。這些集團在2017年中的整體活動中相對保持穩定，可能是一些已經發生的安全事件尚未被察覺。