印度Kudankulam核电站被攻击事件—目前已知道的信息

近期，一个关于印度核电站遭受网络攻击的故事在互联网上流传开来。

由于缺乏相关事件信息，以及某些安全专家的发言（恶意软件样本中出现核实施的缩写），该事件在一片模糊中被认定是“真实的事件”，不少人都认为一个恶意软件已经感染了Kudankulam核电厂的“关键部位”。

但情况应该没有那么严重，我们认为这次网络攻击只是感染了一个与核设施的关键控制装置没有任何关联的系统。

在这篇文章中，我们将理清此次事件时间线，并简要介绍了迄今为止我们所知道的有关核电站被网络攻击的一切信息。

源头

这个故事开始于印度安全研究员Pukhraj Singh在推特上发言，他几个月前通知了印度当局一个名为Dtrack的恶意软件已成功地攻击了Kudankulam核电站的“极端关键设施”。

根据Pukhraj的说法，恶意软件设法获得了核设施网络的域控权限。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xfVuH7v6-1572613513207)(https://nosec.org/avatar/uploads/attach/image/8bd2e1deb53f6139663cfbd3c4fbd481/33.png)]

什么是Dtrack？

根据卡巴斯基研究人员之前发布的一份报告，Dtrack是一种远程控制木马，可监视受害者，并在目标机器上安装各种恶意模块，包括：

• 键盘记录器

• 浏览器历史记录窃取模块

• 本地所有信息的收集模块

Dtrack允许攻击者将特定文件下载到受害者的计算机上，并执行恶意命令，将受害者计算机的数据上传到攻击者控制的远程服务器上。

据研究人员称，Dtrack恶意软件是由Lazarus Group开发的，该黑客集团据传为朝鲜国家情报机构工作。

印度官方的回应

在Pukhraj发完推文之后，许多推特用户和印度反对派的政客，还有国会议员Shashi Tharoor要求印度政府就所谓的网络攻击做出解释，但印度政府尚未做出官方声明。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tWywfCGH-1572613513214)(https://nosec.org/avatar/uploads/attach/image/8ce587fcb828034406e793517ebfd112/dd.png)]

关于这一事件的官方最初回应是印度国有核能集团（NPCIL）在周二发布的一份官方声明，否认核电站的控制系统遭到了网络攻击。

“Kudankulam核电站和其他印度核电站的控制都是相互独立的，并没有连接到外部网络。任何针对核电站控制系统的网络攻击都是不可能的。”

说实话，除了“不可能”这一点值得怀疑，这个声明实际上只说了“关键控制设施”没有被攻击这一事实，但核电站的网络是否真的安全并没有提及。

印度政府后来承认了网络攻击，但是……

随后，该事件不断发酵，牵扯到不少恶意软件和黑客团体，大家都在推测如果不是关键控制系统被感染，那么到底哪些系统受到了攻击？

可能意识到事实是瞒不住的，NPCIL在周三发布了第二份声明，确认存在网络攻击，但仅影响了用于管理的联网电脑，该电脑与核设施的任何关键系统都是隔离的。

NPCIL在声明中表示，他们的系统中确实存在恶意软件。这是在2019年9月4日由印度的CERT向他们报告的。”

“调查显示，遭受感染的电脑属于一名可以联网的用户，但这一切都是与重要内部网络隔离的，我们对网络的持续监控也证明了这一点。”

尽管是朝鲜黑客开发了这种恶意软件，但印度政府尚未将攻击归咎于任何组织或国家。

攻击者可以达到什么目的？

出于安全原因，核电厂的关键控制系统通常与互联网以及任何连接到互联网的计算机相互隔离。

这种隔离系统也称为气隙计算机（air-gapped computer），在各类生产或制造环境中很常见，用来保持管理网络和实际生产网络之间的隔离性（提升安全性）。

感染一个联网的电脑肯定不会让黑客直接接触到核设施的控制系统，但这有可能是攻击者的第一步试探，收集尽可能多的关于目标的信息，以进行第二步攻击。

幸运的是，在恶意软件引起任何混乱之前，就已被发现。

目前政府尚未透露，恶意软件能够窃取到什么样的数据，攻击者是否已经接触到这些数据。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/3116.html
来源：https://thehackernews.com/2019/10/nuclear-power-plant-cyberattack.html