在過去的經(jīng)驗(yàn)中，盯上工控網(wǎng)絡(luò)的攻擊者通常出于一些相對(duì)特別的目的，例如例如震網(wǎng)病毒從戰(zhàn)略上干預(yù)一個(gè)國(guó)家的工業(yè)進(jìn)程。但這種情況也許已經(jīng)發(fā)生了改變，除了誤打誤撞進(jìn)工控內(nèi)網(wǎng)的勒索蠕蟲病毒，“詐騙”團(tuán)伙也對(duì)關(guān)鍵基礎(chǔ)設(shè)施展開了攻擊行動(dòng)。

巨頭俄羅斯石油公司成了目標(biāo)之一

國(guó)外研究人員捕獲到了一些含有惡意代碼的Word文檔，通過分析研究人員發(fā)現(xiàn)了文檔中內(nèi)嵌的釣魚網(wǎng)站，釣魚網(wǎng)站模仿俄羅斯石油公司和其他二十家俄羅斯主要公司的正常網(wǎng)站。包括石油，天然氣，化工和農(nóng)業(yè)等部門的關(guān)鍵基礎(chǔ)設(shè)施組織機(jī)構(gòu)，還包括一些總部設(shè)在俄羅斯的主要金融交易所。

由于此攻擊中許多目標(biāo)機(jī)構(gòu)歸俄羅斯政府所有，看起來此次攻擊像是由政府支持、專注于間諜活動(dòng)的攻擊行為。然而進(jìn)一步分析顯示，實(shí)際是由利潤(rùn)驅(qū)動(dòng)的黑客團(tuán)伙發(fā)起的攻擊。

攻擊者建立的虛假網(wǎng)站與目標(biāo)的合法網(wǎng)站非常相似，并且模仿目標(biāo)使用的域名。

仿造的域名：mendeleevscazot.ru

真正的域名：mendeleevskazot.ru

攻擊者發(fā)送了一個(gè)引入惡意軟件的特制文檔。捕獲到的惡意軟件是RedControle的衍生版本，開啟后門以允許黑客收集敏感和有價(jià)值的信息。

研究人員認(rèn)為，攻擊者已經(jīng)活躍了三年以上，但是惡意軟件并沒有出現(xiàn)頻繁的對(duì)抗進(jìn)化。

研究人員認(rèn)為此次攻擊并非目的為破壞基礎(chǔ)設(shè)施的行動(dòng)，而是通過BEC（企業(yè)電子郵件入侵）謀取利益，“攻擊者首先通過鍵盤記錄等惡意軟件通過直接收集來收集受害者憑證，然后對(duì)與最初受害者聯(lián)系的目標(biāo)組織內(nèi)的人進(jìn)行滲透，在某些情況下將其他受害者導(dǎo)向偽造的網(wǎng)站獲取更多憑據(jù)。

“在整個(gè)過程中，威脅行為者可以通過滲透數(shù)十個(gè)目標(biāo)組織的電子郵件，登錄這些電子郵件帳戶并冒充該帳戶的真正所有者，隨后修改銀行賬戶等信息，誤導(dǎo)目標(biāo)轉(zhuǎn)賬到攻擊者所控制的賬戶?！?/p>

過去幾年，BEC攻擊使全球企業(yè)損失超過120億美元。

俄羅斯網(wǎng)絡(luò)安全公司Group-IB去年首次詳細(xì)介紹了該活動(dòng)（俄文撰寫），該網(wǎng)站分析了威脅組使用的幾個(gè)網(wǎng)絡(luò)釣魚站點(diǎn)。