US-CERT:針對重要基礎設施的威脅遠比想象的更糟糕
責編:gltian |2018-04-27 11:58:56去年10月,美國計算機應急響應小組(US-CERT)發(fā)布了針對能源和其他關(guān)鍵基礎設施部門的高級持續(xù)性威脅(APT)活動的技術(shù)警報。最近,它更新了自最初報告發(fā)布以來發(fā)現(xiàn)的一些新信息,并且這次發(fā)布的新報告中還包含一些有趣的啟示。
自最初的技術(shù)警報發(fā)布以來,美國國土安全部(DHS)和聯(lián)邦調(diào)查局(FBI)就與美國乃至國際合作伙伴通力合作,確定此類針對重要基礎設施的攻擊已經(jīng)在進行中,并且由未明確的威脅參與者負責執(zhí)行。新報告包含妥協(xié)指標(IOCs)以及APT行為者在易受妥協(xié)的受害者網(wǎng)絡中使用的策略、技術(shù)和程序(TTP)的技術(shù)細節(jié)。
新報告中最大膽的啟示是明確標識出最初技術(shù)警報中尚未明確的“威脅行為者”身份。沒有任何模棱兩可的說辭,新報告中將之前未定形的“威脅行為者”確定為“俄羅斯政府”。
此外,新報告還更新了威脅行為者的攻擊活動時間表。在去年10月份的警報中,早期檢測到的威脅時間為2017年5月。新報告將該時間修訂為2016年3月。這突出表明,針對重要基礎設施的攻擊活動比先前預想的時間提前了近15個月。最新警報與原始警報保持一致的觀點為“此類攻擊活動仍在進行中”,這就意味著目標基礎設施仍然易受攻擊威脅并正處于危險之中。
至于偵察和武器化階段(網(wǎng)絡殺傷鏈最初的兩個階段),在去年10月份發(fā)布的警報中,美國國土安全部將當時的“威脅行為者”確定為對關(guān)鍵基礎設施網(wǎng)站和開源資料感興趣,且指出沒有檢測到具體攻擊行為。新報告推翻了“沒有攻擊行為”的聲明,并對俄羅斯黑客如何使用惡意軟件危害工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡提供了非常詳細的描述,包括具體方法、服務器和存儲庫的IP地址,以及完整的攻擊指標(IOC)信息等。此外,攻擊者對于零日漏洞、APT和后門技術(shù)的利用都表明,旨在接管美國關(guān)鍵基礎設施的攻擊活動的復雜性和惡意意圖。
新報告指出,針對重要基礎設施的攻擊活動的廣度不僅更深,而且還要比想象的更廣泛。由于入侵貿(mào)易雜志網(wǎng)站(供工控系統(tǒng)人員訪問流行新聞的在線網(wǎng)站)比入侵關(guān)鍵基礎設施網(wǎng)絡要容易得多,報告還對“水坑式攻擊”技術(shù)的利用進行了描述。所謂“水坑攻擊”指的是一種新型釣魚攻擊方式,黑客瞄準目標對象后,先通過對目標的分析了解其行為特點,掌握目標經(jīng)常訪問的網(wǎng)站,然后尋找這些網(wǎng)站的弱點實施攻擊,并植入惡意軟件。一旦目標用戶點擊瀏覽該網(wǎng)站,惡意軟件就會被植入目標對象的終端設備。形象的比喻,黑客好比野生動物節(jié)目中的猛獸,埋伏在水坑旁邊,等著獵物喝水的時候自己送上門來。
此外,更新后的報告中還揭示了攻擊者對于漏洞利用的投入。去年10月份發(fā)布的警報中指出,“沒有任何跡象顯示攻擊者使用零日漏洞來操縱網(wǎng)站”。但是這句話已經(jīng)從最新發(fā)布的報告中刪除,這就意味著,為了訪問美國的關(guān)鍵基礎設施,俄羅斯黑客特別針對先進的漏洞利用進行了大量投入。新報告還補充道,攻擊者還首次嘗試了掩蓋自己的蹤跡,這無疑增加了識別受損基礎設施的難度。
在這兩份報告中,有一件事是始終保持不變的,它就是攻擊目標。兩份報告均指出,“攻擊活動會影響到能源、核能、水務、航空、建筑以及關(guān)鍵制造行業(yè)的多個組織。”
令人擔憂的是,修訂后的報告還缺少最重要的攻擊情景分析細節(jié),即攻擊者一旦成功獲取到這些關(guān)鍵基礎設施的訪問權(quán)限后會做些什么。更新后的報告只是略微帶過,除了2010的Stuxnet蠕蟲病毒外,至今尚未發(fā)布任何詳細的技術(shù)報告,詳細描述工控系統(tǒng)(ICS)網(wǎng)絡中的“最后一英里”(一個比喻,是指將家庭和辦公室連接到運營商網(wǎng)絡和Internet的任何通信連接)惡意軟件。
能夠從這份最新報告中得出的結(jié)論是,近十年來,俄羅斯威脅行為者一直在進行針對工業(yè)基礎設施的網(wǎng)絡活動。他們和其他人很可能都希望獲得“紅色按鈕”功能,該功能可用于在未來的某個時刻關(guān)閉電網(wǎng)或?qū)е缕渌A設施的損壞。擁有這些能力會對傳統(tǒng)的武裝沖突造成更大的破壞和破壞,而且在大多數(shù)情況下,組織和國家都并不具備處理這種破壞的能力。
那么,面對如此威脅我們能夠做些什么呢?報告最后提供了一些安全實踐建議,但是這些建議只能作為一個很好的開始策略,并不意味著所有。報告建議稱,與我們鎖定IT環(huán)境的方式一樣,具備前瞻性眼光并鎖定OT(運營技術(shù))環(huán)境是至關(guān)重要的。此外,部署能夠?qū)崟r檢測威脅、跟蹤資產(chǎn)以及將漏洞用于攻擊入口之前發(fā)現(xiàn)漏洞的能力也是至關(guān)重要的。
無論是電廠、煉油廠、生產(chǎn)設施還是污水處理廠,一旦監(jiān)督控制和數(shù)據(jù)采集(SCADA)系統(tǒng)或分布式控制系統(tǒng)(DCS)出現(xiàn)故障,一切都為時已晚。現(xiàn)在是準備應對日益嚴重的威脅的時候了。只有如此才能保障基礎設施穩(wěn)定運行,最大限度地避免造成難以估量的損害。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧