疑美國馬薩諸塞州電力公司被黑客滲透潛伏300多天
綜合Dragos報告、Darkreading、Securityweek、The Record網站2025年3月13日消息,OT網絡安全公司Dragos發布報告稱,黑客組織入侵了美國馬薩諸塞州利特爾頓一家公用事業公司的系統,并潛伏長達10個月。該公用事業公司為利特爾頓和博克斯伯勒鎮提供電力和供水服務,于2023年感恩節前夕發現系統遭入侵,隨后聯系Dragos進行調查。調查顯示,黑客早在2023年2月就已進入系統,并進行了橫向移動和數據竊取,但未涉及客戶敏感數據。Dragos指出,攻擊組織的目標是竊取與運營技術相關的數據,以便在沖突時實施破壞性攻擊。美國執法部門認為,該組織已滲透到美國及關島的多個關鍵基礎設施組織,意圖在危機時破壞基礎設施運作。
2023年11月感恩節前夕,一場隱秘的網絡攻防戰在美國馬薩諸塞州悄然浮出水面。據工業網絡安全公司Dragos發布的報告披露,服務于利特爾頓和博克斯伯勒社區的公共電力公司——利特爾頓電燈和水務部門(LELWD)遭遇國家級黑客組織長達300余天的滲透。盡管該事件被美國聯邦調查局(FBI)和網絡安全與基礎設施安全局(CISA)聯合介入,但截至目前,LELWD官方未對事件細節作出公開回應,事件全貌仍籠罩在Dragos單方披露的技術報告中。
Dragos報告顯示,攻擊者自2023年2月起便潛伏于LELWD網絡,通過利用面向互聯網的VPN設備或防火墻漏洞實現初始滲透。攻擊者采用“服務器消息塊(SMB)遍歷”和“遠程桌面協議(RDP)橫向移動”等手法,逐步向運營技術(OT)系統推進。值得注意的是,攻擊者并未觸發傳統安全警報——據Dragos分析,其全程使用系統內置管理工具(如PowerShell),并刻意保持低頻通信流量,完美融入正常運維行為中。
在長達10個月的潛伏期內,攻擊者的核心目標直指兩類數據:一是電網控制指令、設備參數等OT操作程序;二是地理信息系統(GIS)中存儲的電網空間布局與管線分布圖。Dragos的OT Watch平臺通過監測異常協議行為(如非工作時段頻繁調用SMB協議)鎖定了攻擊痕跡,而FBI的日志審計則發現攻擊者曾多次訪問存儲GIS數據的服務器。這一發現促使LELWD緊急調整網絡架構,通過隔離OT與IT系統切斷了攻擊鏈。
二、未明的威脅:當關鍵基礎設施成為情報戰場
盡管Dragos強調“未發現客戶數據泄露或物理設施受損”,但此次事件暴露出遠超單次攻擊的深層危機。若結合VOLTZITE(Dragos對威脅組織的命名)的歷史行蹤,其戰略意圖逐漸清晰——這家被美國官方認定為“與政府存在關聯”的黑客組織,正系統性繪制美國關鍵基礎設施的數字地圖。
潛在的地緣政治風險:Dragos在報告中指出,VOLTZITE近年頻繁瞄準關島軍事基地、應急管理機構及電信網絡,其攻擊模式具有鮮明的“戰場預置”特征。電力系統的GIS數據包含變電站坐標、輸電線走向等敏感信息,一旦與軍事設施的地理位置疊加,可能為未來沖突中的精確打擊提供坐標參考。美國戰略與國際研究中心(CSIS)2024年報告曾警告,此類數據若流入敵對國家手中,將大幅提升“數字珍珠港”事件的可能性。
中小型公共事業的脆弱性:LELWD事件折射出美國電力行業的結構性弱點——全美近3000家小型公共事業公司中,超過70%缺乏專職網絡安全團隊,OT系統普遍與IT網絡混用。攻擊者顯然嗅到了這一短板:據Dragos監測,2023年至2024年,針對中小型電力公司的定向滲透嘗試同比增長240%。這類“軟目標”一旦失守,可能成為攻擊大型電網的跳板。
技術民主化的雙刃劍:值得警惕的是,Dragos報告中提及的攻擊手法并無“高精尖”技術色彩。攻擊者通過劫持家用路由器構建代理僵尸網絡,利用公開漏洞滲透邊界設備,全程使用合法工具規避檢測。這種“低技術、高耐心”的戰術,使得防御方難以依賴傳統安全產品應對,卻為更多攻擊者提供了可復制的模板。
三、攻擊者畫像:暗影中的“工控獵人”
盡管LELWD事件缺乏官方定論,但Dragos的威脅情報拼圖揭示了VOLTZITE這一組織的獨特輪廓:
國家級支持的戰術特征:不同于以勒索贖金為目標的犯罪團伙,VOLTZITE表現出極強的戰略耐心與情報導向性。其攻擊周期常以“月”而非“天”為單位,目標數據高度聚焦于工業控制系統參數與地理情報。Dragos追蹤發現,該組織近三年攻擊的37個目標中,89%為能源、交通、水利等關鍵基礎設施,且無一例勒索記錄——這種“非牟利性”特征被視為國家級黑客組織的典型標志。
“融于日常”的隱蔽哲學:攻擊者深諳工業網絡運維規律,刻意將惡意活動偽裝成日常操作。例如,在LELWD事件中,攻擊者選擇電網負荷較低的夜間時段進行橫向移動,使用RDP協議時嚴格模仿運維人員的登錄地點與賬號權限。這種“行為克隆”策略,使得基于規則的傳統檢測手段完全失效。
供應鏈攻擊的陰影:Dragos報告還暗示,VOLTZITE可能通過滲透設備供應商植入后門。2023年5月,該組織被曝利用Juniper MX路由器的零日漏洞攻擊美國電信公司,而LELWD的網絡中同樣存在多臺該型號設備。盡管尚無直接證據表明兩者關聯,但工業設備的漫長生命周期(常達15-20年)與緩慢的補丁節奏,為攻擊者提供了天然溫床。
四、防御覺醒:從“合規清單”到“戰時思維”
LELWD事件如同一面棱鏡,折射出關鍵基礎設施防御范式的轉型迫在眉睫。Dragos在報告中提出,工業網絡安全需超越“打補丁、做等保”的靜態模式,轉而構建動態威脅驅動的防御體系。
看得見:OT資產的數字鏡像:工業環境的特殊性在于,一臺1980年代的老舊PLC可能仍控制著關鍵閥門。Dragos建議企業借助自動化工具建立實時資產清單,不僅要識別設備型號與IP地址,還需映射其通信關系與控制邏輯。LELWD正是通過此類工具,在48小時內鎖定了被篡改的GIS服務器。
攔得住:最小特權與微隔離:將OT網絡劃分為多個安全域,限制跨區域通信。例如,SCADA系統僅允許與特定PLC通過Modbus協議通信,且流量需經工業防火墻深度檢測。這種“微隔離”策略,可有效遏制類似事件中攻擊者的橫向移動。
學得會:威脅情報驅動的響應:防御者需建立與國家級APT對抗的認知框架。Dragos的OT Watch服務之所以能在LELWD事件中快速響應,關鍵在于其全球威脅情報庫中存有VOLTZITE的戰術指紋。當監測到SMB協議異常遍歷模式時,系統自動比對數萬起歷史事件,將威脅評級從“可疑”提升至“高危”。
練得精:工業紅藍對抗常態化:紙上談兵的應急預案難抵真實攻擊。2024年起,美國能源部要求關鍵電力企業每季度開展“斷網演練”,模擬OT系統全面癱瘓下的應急供電。LELWD在事件后加入了此類計劃,通過模擬攻擊者滲透GIS系統的場景,測試了從流量分析到物理隔離的全鏈條響應。
結語:在真相與迷霧之間
盡管Dragos的報告為公眾打開了一扇窺視關鍵基礎設施攻防戰的窗口,但事件的諸多細節仍隱于迷霧——LELWD的沉默、攻擊者的真實歸屬、未被披露的漏洞細節,都在提醒我們:這是一場沒有旁觀者的戰爭。當電力、水利、交通等系統日益數字化,防御者的每一處疏忽,都可能成為照亮攻擊者槍口的燈塔。或許,比追問“發生了什么”更緊迫的,是思考“下一次如何幸存”。
參考資源
1、https://www.darkreading.com/cyberattacks-data-breaches/volt-typhoon-strikes-massachusetts-power-utility
2、https://www.securityweek.com/chinas-volt-typhoon-hackers-dwelled-in-us-electric-grid-for-300-days/
3、https://therecord.media/volt-typhoon-hackers-utility-months
4、https://www.dragos.com/wp-content/uploads/2025/03/Dragos_Littleton_Electric_Water_CaseStudy.pdf
來源:網空閑話plus
