HackerNews 编译,转载请注明出处:
美国国务院通过“正义赏金”计划悬赏最高1000万美元,征集有关俄罗斯联邦安全局(FSB)官员帕维尔·亚历山德罗维奇·阿库洛夫(Pavel Aleksandrovich Akulov)、米哈伊尔·米哈伊洛维奇·加夫里洛夫(Mikhail Mikhailovich Gavrilov)和马拉特·瓦列里耶维奇·秋科夫(Marat Valeryevich Tyukov)的情报。这三人被指控入侵美国关键基础设施及全球超过500家能源企业。
指控称,这些FSB官员试图获取并维持“对美国及国际数百家能源企业的未授权持久访问权限,使俄罗斯政府能够破坏这些关键设施”。其攻击范围涵盖135个国家超过380家能源企业,包括石油天然气公司、电力电网运营商、核电站、可再生能源企业以及工程技术服务商。
这三名官员均隶属于FSB第16中心(又名“Dragonfly”、“Berzerk Bear”、“Energetic Bear”和“Crouching Yeti”)。美国司法部早在2021年8月就已对他们提起指控。
两阶段攻击行动
2012至2017年间,Dragonfly APT(高级持续性威胁)组织针对能源行业的工业控制系统(ICS)和监控与数据采集系统(SCADA)发起多轮攻击:
- 第一阶段(2012-2014):行动代号“Dragonfly”或“Havex”,采用供应链攻击手段入侵OT网络系统制造商和软件供应商,部署“Havex”恶意植入程序。通过鱼叉式钓鱼和水坑攻击,在美国及海外超过17,000台设备上安装恶意软件,其中包括电力能源企业使用的ICS/SCADA控制器。
- 第二阶段(2014-2017):升级为“Dragonfly 2.0”,集中针对500余家欧美能源企业和政府机构(包括美国核管理委员会)的3,300多名ICS/SCADA系统工程师发起定向攻击。
新型攻击手段曝光
2025年8月,FBI警告称俄罗斯关联黑客组织“Static Tundra”正在利用Cisco Smart Install(SMI)中未修复的漏洞(CVE-2018-0171,CVSS评分9.8)和简单网络管理协议(SNMP),攻击全球范围内的老旧网络设备。该漏洞允许攻击者远程执行任意代码或导致设备重启。
Static Tundra与FSB第16中心存在关联,十年来持续通过以下手段实施网络间谍活动:
- 利用过时协议(SMI、SNMP v1/v2)
- 部署定制化工具如Cisco “SYNful Knock”恶意固件
- 建立GRE隧道实现隐蔽通信
- 窃取数千台美国关键基础设施设备的配置数据
思科Talos团队报告显示,该组织主要针对北美、亚洲、非洲和欧洲的电信、高等教育和制造领域机构,受害者选择标准取决于其对俄罗斯政府的战略价值。
SYNful Knock作为模块化路由器后门,自2015年被Mandiant首次披露以来,持续为攻击者提供持久化访问和情报收集能力。
消息来源:securityaffairs;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
