美國指控俄羅斯鎖定電廠等重大基礎建設發動網路攻擊，凍結駭客組織資產

美國國土安全部旗下的美國電腦緊急事件應變小組（United States Computer Emergency Readiness Team，US-CERT）周四（3/15）指出，根據美國國土安全部（DHS）及聯邦調查局（FBI）的調查與分析，俄羅斯政府從2016年開始便針對美國的政府單位與重大基礎建設展開網路攻擊，並揭露了俄羅斯政府與駭客的戰術、技術與程序（Tactics, Techniques and Procedures，TPPs），同一天美國財政部即宣布將針對參與俄羅斯駭客行動的19名個人與5個組織展開制裁，凍結他們的資產。

US-CERT指出，由俄羅斯政府主導的駭客行動除了鎖定美國政府機關外，還針對重要的能源、核子、商業設施、水資源、航太及製造業等領域的組織發動攻擊，而且採用縝密的多階段入侵行動，先進攻外圍的、安全機制較為薄弱的合作業者，取得遠端存取能源網路的管道之後，再蒐集有關工業控制系統的資訊。

俄羅斯的攻擊行動鎖定了兩種類別的受害者，包括階段性目標與終極目標，前者指的是那些外圍的第三方業者，以作為入侵終極目標的起點。

DHS與FBI將俄羅斯的駭客行動分為7個階段，依序是偵察、製作武器、寄送魚叉式網釣郵件、開採目標對象、安裝惡意程式、執行命令與控制，以及針對目標對象展開行動。顯示出駭客有組織地探訪攻擊目標的生態體系，採用魚叉式網釣郵件與水坑攻擊等手法先行滲透階段性目標，進而入侵終極目標的網路，例如使用階段性目標的VPN、RDP、Outlook Web Access等遠端存取服務作為攻擊終極目標的跳板。

迄今已確定駭客存取了有關發電廠控制系統（ICS）及數據採集與監控系統（SCADA）的檔案，並複製了可存取ICS系統的檔案與配置。

為了避免行跡敗露，駭客會在入侵階段性目標之後會刪除紀錄以抹除自己的足跡，也會在終極目標的網路上刪除所建立的螢幕截圖與特定的登錄機碼，或是任何曾經安裝過的工具。

美國財政部長Steven  Mnuchin表示，美國政府以制裁來反擊俄羅斯的駭客行動，該國政府企圖干預美國大選、發動破壞性的網路攻擊行動，以及入侵重要的基礎架構，而且這只是其中的一部份，美國財政部亦有意切斷俄羅斯進入美國金融體系的管道，讓俄羅斯的官員與獨裁者承擔該有的責任。