在過去的經(jīng)驗中，盯上工控網(wǎng)絡的攻擊者通常出于一些相對特別的目的，例如例如震網(wǎng)病毒從戰(zhàn)略上干預一個國家的工業(yè)進程。但這種情況也許已經(jīng)發(fā)生了改變，除了誤打誤撞進工控內網(wǎng)的勒索蠕蟲病毒，“詐騙”團伙也對關鍵基礎設施展開了攻擊行動。

巨頭俄羅斯石油公司成了目標之一

國外研究人員捕獲到了一些含有惡意代碼的Word文檔，通過分析研究人員發(fā)現(xiàn)了文檔中內嵌的釣魚網(wǎng)站，釣魚網(wǎng)站模仿俄羅斯石油公司和其他二十家俄羅斯主要公司的正常網(wǎng)站。包括石油，天然氣，化工和農(nóng)業(yè)等部門的關鍵基礎設施組織機構，還包括一些總部設在俄羅斯的主要金融交易所。

由于此攻擊中許多目標機構歸俄羅斯政府所有，看起來此次攻擊像是由政府支持、專注于間諜活動的攻擊行為。然而進一步分析顯示，實際是由利潤驅動的黑客團伙發(fā)起的攻擊。

攻擊者建立的虛假網(wǎng)站與目標的合法網(wǎng)站非常相似，并且模仿目標使用的域名。

仿造的域名：mendeleevscazot.ru

真正的域名：mendeleevskazot.ru

攻擊者發(fā)送了一個引入惡意軟件的特制文檔。捕獲到的惡意軟件是RedControle的衍生版本，開啟后門以允許黑客收集敏感和有價值的信息。

研究人員認為，攻擊者已經(jīng)活躍了三年以上，但是惡意軟件并沒有出現(xiàn)頻繁的對抗進化。

研究人員認為此次攻擊并非目的為破壞基礎設施的行動，而是通過BEC（企業(yè)電子郵件入侵）謀取利益，“攻擊者首先通過鍵盤記錄等惡意軟件通過直接收集來收集受害者憑證，然后對與最初受害者聯(lián)系的目標組織內的人進行滲透，在某些情況下將其他受害者導向偽造的網(wǎng)站獲取更多憑據(jù)。

“在整個過程中，威脅行為者可以通過滲透數(shù)十個目標組織的電子郵件，登錄這些電子郵件帳戶并冒充該帳戶的真正所有者，隨后修改銀行賬戶等信息，誤導目標轉賬到攻擊者所控制的賬戶?！?/p>

過去幾年，BEC攻擊使全球企業(yè)損失超過120億美元。

俄羅斯網(wǎng)絡安全公司Group-IB去年首次詳細介紹了該活動（俄文撰寫），該網(wǎng)站分析了威脅組使用的幾個網(wǎng)絡釣魚站點。