印度核电站网络上发现朝鲜恶意软件

在Kudankulam核电站感染了恶意软件的“谣言”传播两天后，Twitter的母公司终于出面证实了安全漏洞确实存在。

Kudankulam核电站（KNPP）可能已经感染了危险的恶意软件这一消息最开始是在Twitter上流传，10月30号，印度核电公司（NPCIL）证实核电站的网络确实感染了恶意软件，并且是有朝鲜政府背景的黑客所为。

当时，印度国家技术研究组织（NTRO）的前安全分析师Pukhraj Singh指出，KNPP上的恶意软件感染应该和最近上传到VirusTotal的文件有关。特定的恶意软件样本包括了KNPP内部网络的硬编码凭据，这表明该恶意软件是经过专门编译以便在核电站的IT网络内部传播和运行。

与朝鲜拉撒路集团有关的恶意软件

Singh的言论很快就在网上疯传，而就在几天前，Kudankulam核电站意外关闭了一座反应堆，许多用户将这两个不相关的事件归为一个。

最初，KNPP官员是坚决否认他们遭受了任何恶意软件感染，并发表声明将这些推文描述为“虚假信息”，表示黑客对核电站发动网络攻击是“不可能的”。

但是10月30号，KNPP的母公司NPCIL在另一份声明中承认存在安全漏洞。

声明是这么说的：“ NPCIL系统中的恶意软件识别是正确的。”但是该恶意软件仅感染了其管理网络，未到达其关键的内部网络，而内部网络正是用于控制核电站的核反应堆。因此，网友认为是恶意软件导致Kudankulam核电站关闭反应堆是不正确的，这是2件事情。

此外，NPCIL也回复了Singh在Twitter上的发言；他们在9月4日首次发现该恶意软件时就收到了来自CERT印度的通知，并且在报告时已对此事进行了调查。

注：几位安全研究人员识别出该恶意软件是Dtrack的一个版本，由朝鲜精英黑客组织Lazarus Group（朝鲜拉撒路集团）开发的一个后门木马。

不是大事

根据俄罗斯反病毒制造商卡巴斯基对Dtrack恶意软件的分析，该木马具有以下功能：

键盘记录； 检索浏览器历史记录； 收集主机IP地址、关于可用网络和活动连接的信息； 罗列所有正在运行的进程； 罗列所有可用磁盘卷上的所有文件。

从其功能可以明显看出，Dtrack通常用于侦察目的，并用作其他恶意软件有效载荷的投递器。

过往的Dtrack样本通常出现在出于政治动机的网络间谍活动和对银行的攻击中，上个月也发现了自定义版本的Dtrack，也就是AMTDtrack。

从历史上看，拉撒路集团或任何其他朝鲜黑客组织很少以能源和工业部门作为攻击目标。他们往往追求获取私密信息而不是为了蓄意搞破坏。大部分朝鲜的黑客攻击都集中于深入了解外交关系、追踪逃离朝鲜的前朝鲜公民、入侵银行和加密货币交易所从而为平壤政权筹集资金购买武器等。尤其是在上个月卡巴斯基报道：拉撒路集团正在忙于在印度金融部门分发Dtrack和AMDtrack。

综合这些因素，KNPP事件看起来更像是意外感染，而不是一次精心计划的攻击行动。

*参考来源：ZDNet，kirazhou编译整理，转载请注明来自 FreeBuf.COM