当地时间10月30日，印度核电公司（Nuclear Power Corporation）证实，库丹库拉姆核电站（Kudankulam）确实感染了朝鲜政府资助的黑客组织创建的恶意软件。以针对“核电站”的国家级网络攻击，再次将我们的视线引导到网络战，同时它以“核”级别的高危性事件，加剧了维护关键信息系统国防大安全的紧迫性。

库丹库拉姆核电厂：或Koodankulam NPP或KKNPP，是位于印度泰米尔纳德邦Kudankulam的最大核电站，该厂建设于2002年。

这一次，它成为国家级网络攻击“风暴”的核心。

一波三折的故事线，Kudankulam核电站确认被国家级黑客攻击

10月28日，也就是本周一就有人在Twitter上发文称：Kudankulam核电站（KNPP）可能已经感染了危险的恶意软件。

但当时，KNPP的官员否认他们遭受了任何恶意软件感染，并于周二（10月29日）发表声明将这些推文描述为“虚假信息”，并称“对发电厂进行网络攻击是‘不可能的‘ ”。

图片来源：ZDNet

然而，仅一天时间，这一被官方称之为“虚假消息”的事件却被自己推翻。10月30日，KNPP的母公司NPCIL 在另一份声明中承认Kudankulam核电站确实感染了朝鲜政府资助的黑客组织创建的恶意软件。

不仅官方证实，印度国家技术研究组织（NTRO）的前安全分析师Pukhraj Singh也给出了实证，他指出最近在VirusTotal上传的样本实际上与KNPP上的恶意软件感染有关。同时，他还表示：特定的恶意软件样本，包括KNPP内部网络的硬编码凭据，这表明该恶意软件经过专门编译以在电厂的IT网络内部传播和运行。

攻击并非偶然？Dtrack恶意软件9月时就已瞄准核电工厂

在进一步研究中，几位安全研究人员将该恶意软件识别为Dtrack的一种版本，Dtrack是由朝鲜精英黑客组织Lazarus Group开发的后门木马。

值得注意的是，该恶意软件在今年9月4日前就已被发现其针对印度核电厂的网络攻击活动。当时名印度的威胁情报分析师Singh曾在Twitter上告知此事。

随即在9月23日，卡巴斯基发布了一则关于Dtrack的恶意代码报告，报告将DTrackmalware描述为可用于监视受害者和窃取感兴趣的数据，并称该恶意软件支持通常在远程访问木马（RAT）中实现的功能，有效负载可执行文件支持的一些功能列表如下：

• 键盘记录
• 检索浏览器历史记录，
• 收集主机IP地址，有关可用网络和活动连接的信息，
• 列出所有正在运行的进程，
• 列出所有可用磁盘卷上的所有文件。

从其功能可以明显看出，Dtrack通常用于侦察目的，并用作其他恶意软件有效载荷的投递器。

从数字货币到能源工业领域，拉撒路攻击目标再扩大

Dtrack隶属于拉撒路集团（Lazarus Group）。这是一家受朝鲜政府追捧的知名网络间谍组织。

拉撒路（Lazarus）小组又名APT-C-26，是从2009年以来一直处于活跃的APT组织。从历史上看，该小组主要以经济利益为目的，攻击金融等行业，并逐步对多个大型数字货币交易进行攻击渗透。如：

• 2014年，索尼影视娱乐公司遭到黑客袭击，美国政府出面谴责Lazarus的行为；
• 2016年2月，一个未知的攻击者试图从孟加拉国中央银行窃取8100万美金，事后多篇分析报道称该事件与Lazarus组织有关；
• 2016年5月，BAE公司遭到袭击，公布了一份有关攻击者使用的擦除程序的代码分析，事后Anomali实验室确认这一工具与Lazarus组织的擦除工具代码极为相似；
• 2017年2月份，波兰媒体的一篇报道打破了关于一次银行攻击事件的平静，赛门铁克从波兰受攻击的金融部门提取到Lazarus组织惯用的擦除工具（根据字符串重用的线索）。
• 2019年3月，360安全大脑率先追踪溯源发现该组织针对OKEX等多家知名数字货币交易所发起的攻击行动。

如今，这个有着国家级背景的黑客组织攻击对象再扩大从金融数字货币，转向能源和工业领域的目标。在网络战甚嚣尘上的当下，在国家能源基础设施成为网络战重点攻击目标的局势里，此次该组织将攻击矛盾指向印度最大的核电站，这仅仅只是如外文报道所说的追求专有知识产权么？

本文为【国际安全智库】原创作品。如需转发，请标注来源。

外文参考资料：

https://www.zdnet.com/article/confirmed-north-korean-malware-found-on-indian-nuclear-plants-network/