印度核电公司(Nuclear Power Corporation of India Limited,NPCIL)本周坦承,今年9月初遭到朝鲜木马程序DTrack感染网络。
本周推特一名用户分享上传Google VirusTotal的DTrack恶意程序样本,并显示从印度库丹库拉姆核电厂(Kudankulam Nuclear Power Plant)网络窃取数据,包括网络上系统的IP、MAC、OS、浏览器联网纪录、ipconfig、netstat信息等。该电厂所属的印度核电公司周三否认,不过隔天坦承确有此事。
该公司表示,他们在9月4日接获印度网络紧急应变中心(CERT-In)通知。经过印度原子能源部调查,显示是因一名用户计算机因远程管理之需,连上互联网后感染恶意程序所致,但是并未说明推特上所指的数据是否来自这台计算机。印度核电公司说这个管理网络与中央内部网络是切开的,目前也在后续严密监控中,并强调核电厂系统未受影响。
不过印度安全专家Pukhraj Singh指出,该电厂遭到域名控制器(domain controller)层访问,并有极为关键的系统受到影响。几天前,该电厂一座核心反应炉发生不明原因停机。Ars Technica引述Singh说这是一起“战争行为”,因为这是第二个目标,但他拒绝透露另一个目标为何。
Dtrack被认为是由朝鲜国家资助的黑客集团Lazarus Group,所开发出来的后门木马程序。据俄罗斯安全公司卡巴斯基研究,Dtrack迄今广被用于感染金融机构和研究中心。它主要的目的是利用键盘侧录、网络扫瞄及程序活动监控,进行感染系统的数据搜集及环境侦察。
Lazarus Group也是2014年攻击索尼影业的黑客集团,也被怀疑和WannaCry有关联,台湾公司也曾经遭受其染指。
核电厂作为重要基础架构已成为黑客眼中的好目标。此前著名的例子包括攻击伊朗核电厂的Stuxnet,以及攻击车诺比电厂的NotPetya等。