黑客攻击印度核电站，到目前为止我们所知道的一切

从昨天开始，一个关于印度核电站网络攻击的故事在互联网上流传。

库丹库兰核电站.

放松事实并非如此。这次袭击只是感染了一个与核设施中的任何关键控制无关的系统。

在这里，我们分享了一个事件时间表，简要介绍了迄今为止我们所知的关于泰米尔纳德邦库丹库兰核电站（KKNPP）网络攻击的所有信息。

这消息是从哪里传来的？

故事始于印度安全研究员普赫拉吉·辛格（Pukhraj Singh）在推特上表示，他几个月前通知印度当局一个名为Dtrack的信息窃取恶意软件，该软件成功击中了库丹库拉姆核电站的“极端关键任务目标”。

据Pukhraj称，该恶意软件成功获得了核设施的域控制器级访问权限。

 

什么是Dtrack恶意软件（与朝鲜黑客有关）？

根据卡巴斯基研究人员此前发布的一份报告，Dtrack是一种远程访问特洛伊木马（RAT），旨在监视受害者并在目标计算机上安装各种恶意模块，包括：

• 键盘记录器，
• 浏览器历史窃取者，
• 用于收集主机IP地址、有关可用网络和活动连接的信息、所有正在运行的进程的列表，以及所有可用磁盘卷上所有文件的列表的函数。

Dtrack允许远程攻击者将文件下载到受害者的计算机，执行恶意命令，将数据从受害者的计算机上载到攻击者控制的远程服务器，等等。

据研究人员称，Dtrack恶意软件是由Lazarus Group开发的，该黑客组织据信代表朝鲜国家间谍机构开展工作。

印度政府如何回应？

Pukhraj发推文后，许多推特用户和印度反对派政客，包括国会议员沙希·塔鲁尔，立即要求印度政府就所谓的网络攻击作出解释；它从未向公众披露过。

作为对最初媒体报道的回应，政府所有的实体印度核电公司（NPCIL）周二发布了一份官方声明，否认对核电站控制系统的任何网络攻击。

NPCIL的声明写道：“这是为了澄清库丹库兰核电站（KNPP）和其他印度核电站的控制是独立的，不与外部网络和互联网连接。不可能对核电站控制系统进行任何网络攻击。”。

老实说，除了“不可能”部分外，该声明在事实上是正确的，因为普赫拉吉也在谈论行政IT网络的妥协，而不是控制发电厂的关键系统。

印度政府后来承认了网络攻击，但。。。

然而，尽管NPCIL主要针对虚假媒体报道和类似Stuxnet的恶意软件攻击的谣言，但它有意或无意地留下了一个重要问题没有回答：

如果不是控制系统，那么哪些系统实际上受到了破坏？

当绝对否认事与愿违时，NPCIL周三发布了第二份声明，确认确实存在网络攻击，但仅限于用于管理目的的互联网连接计算机，该计算机与核设施的任何关键任务系统隔离。

NPCIL声明中写道：“NPCIL系统中的恶意软件识别是正确的。CERT在2019年9月4日注意到此事时已将此事转达给了他们。”。

 

“调查显示，受感染的电脑属于一名连接到互联网网络的用户。该用户与关键的内部网络隔离。这些网络正在被持续监控。”

尽管朝鲜黑客开发了该恶意软件，但印度政府尚未将该攻击归咎于任何组织或国家。

攻击者能取得什么成就？

出于安全原因，核电站的控制处理技术通常与互联网或连接到互联网或外部网络的任何其他计算机隔离。

这种隔离系统也被称为气隙计算机，在生产或制造环境中很常见，以保持管理和操作网络之间的间隙。

破坏互联网连接的管理系统不允许黑客操纵气隙控制系统。不过，它肯定会允许攻击者感染连接到同一网络的其他计算机，并窃取其中存储的信息。

如果我们像黑客一样想破坏核设施，那么第一步就是尽可能多地收集有关目标组织的信息，包括设施中使用的设备和设备的类型，以确定下一步可能跨越气隙的方式。

Dtrack恶意软件可能是更大规模网络攻击的第一阶段，幸运的是，它被发现并在造成任何混乱之前发出警报。

然而，研究人员或政府尚未透露恶意软件能够窃取什么样的数据，对这些数据的分析可能有助于进一步揭示事件的严重性。