关键信息基础设施是对国家至关重要的资产、系统和网络,遭受攻击或破坏都将对国家安全、国民经济、国家公共卫生或安全产生严重影响。主要包括交通、通讯领域、金融服务、政府设施、核反应堆、材料和废物中心、关键制造业等。

关键信息基础设施保持人类的日常生活正常,然而人们往往没有意识到各类工业设备是如何提供基本设施的,例如清洁饮用水、家庭和企业用电、连接铁路、送货上门的包装食品等。

最近在俄乌冲突期间,连接到OT组件和负责控制工厂运营设备的IT网络受到大规模网络攻击。国家支持的攻击者、APT组织和众多黑客社区一直在积极攻击关键信息基础设施。攻击事件的突然激增是由于当前俄乌冲突的地缘政治事件造成的。

全球各地的计算机应急响应小组(CERT)也在监视事件,并为公众和企业发布警报、咨询和建议。国家相关部门公开披露的信息包括供应商为其产品更新的漏洞修复补丁。

公开披露的信息还包括有关恶意软件和威胁行为者的最新信息。例如前几天美国CISA发布了重要建议,其中包括施耐德电气的交互式图形SCADA系统、西门子SICAM RTU的工程软件、以及针对乌克兰的Whisper Gate和Hermetic Wiper恶意软件的详细信息。

网络、设备和软件中的漏洞不断被众多恶意黑客利用。由于关键信息基础设施在各国的各个方面都发挥着至关重要的作用,因此关键信息基础设施面临着网络攻击的高风险,任何针对这些机构的成功网络攻击都将导致灾难性事件。

由于IT和OT技术的融合,传感器、网络设备、OT设备、工作站等相互连接,因此威胁行为者可以渗透这些关键领域,为攻击者打开了大门。

一、攻击活动详情

2月25日,Anonymous的推特账号@LiteMods声称对俄罗斯天然气工业股份公司Gazprom发起了DDoS攻击。Gazprom是一家俄罗斯能源企业,专注于上下游石油和天然气业务,以及热力和发电。该组织是俄罗斯四大石油生产商之一。此外,该公司拥有世界上最多的天然气储量之一。

2月27日,白俄罗斯网络游击队(Belarusian Cyber Partisans)通过推特账号@cpartisans声称其攻击了白俄罗斯铁路网络,以支持乌克兰。这次袭击旨在减缓俄罗斯军队的入侵,并为乌克兰人提供更多时间对抗俄罗斯军队。白俄罗斯网络游击队是一个自2020年以来针对白俄罗斯政府机构的黑客活动组织。

随后该账户提供了白俄罗斯铁路内部计算机网络监控系统的屏幕截图。攻击者利用了一个过时的Windows XP应用程序进入到白俄罗斯铁路网络。3月2日,该组织表示仍在积极监控局势,并正在利用白俄罗斯铁路基础设施中的漏洞。

2月28日,有网络犯罪分子袭击了位于俄罗斯莫斯科附近的电动汽车充电站,攻击者在充电桩屏幕上显示支持乌克兰的消息。3月1日,黑客组织GhostSec声称可以访问基于Nuclotron的离子对撞机设施(NICA),并提供了有关真空系统、温度和压力的详细信息。3月6日,该组织在推特账号声称其拥有敏感数据,包括SQLI转储、SMB泄漏、FT服务器转储、JINR和俄罗斯部门的私有GitLab。

3月2日,有恶意黑客声称能够入侵JINR,造成的破坏将使SCADA操作员难以在工厂工作。这使得SCADA系统的重要性大大增加。SCADA系统是每个行业处理工业设备的核心,尤其是在处理“核操作”的工厂。

对SCADA预定义参数的操作可能会引发一系列影响国家的事件。如果攻击者可以绕过为关键核基础设施设置的安全措施,就可能会给国家和整个世界带来更严重的后果。

3月4日,Against the West威胁行为者声称已攻击了Gazprom,并在3月5日发布了Gazprom的数据。Anonymous组织对此进行了转发。

进一步调查发现,俄罗斯天然气工业股份公司和其他主要石油和天然气公司正成为DDoS攻击的主要目标。研究人员发现了一个脚本,该脚本对俄罗斯Lukoil石油公司和另一家大型国有石油和天然气组织发起了DDoS攻击。同时研究人员也发现了各种网络钓鱼URL,针对俄罗斯石油天然气行业另一巨头Rosneft。

这一趋势表明,黑客将积极攻击石油和天然气行业,操纵国家出口和经济。在全球范围内,石油和天然气行业应该保持高度警惕,因为国家支持的黑客可以对与俄乌冲突直接或间接相关的组织进行此类攻击。

3月6日,AnonGh0st通过推特账号@JoanneHuggins6声称,俄罗斯SCADA系统已被黑客入侵并停止,并共享了与供水系统有关的各种泵和管道的屏幕截图。3月7日,该账号声称其入侵了俄罗斯的供水系统。

3月14日,Anonymous声称攻击了俄罗斯能源公司Rosneft的德国子公司,并窃取了20TB的数据。

此外据报道,德国风力涡轮机运营商Tobi的系统卫星连接出现故障,导致数千台风力涡轮机的远程监控受到影响,总输出功率为11吉瓦。此次中断是由于Viasat公司的KA-Sat通信卫星故障造成的,卫星通信服务提供商Euroskypark、Eutelsat、Nordnet、以及美国军事通信服务均使用Viasat公司KA-Sat通信卫星。由于该事件发生在2月24日俄乌特别军事行动开始之际,因此可能是针对主要军事目标进行网络攻击造成的附带损害。

二、地下论坛活动

出于政治动机的威胁行为者正在针对关键信息基础设施发起攻击,特别是资源、政府、媒体、金融和保险行业。针对金融和保险实体是因为这是西方金融制裁的工作武器,而针对公用事业和资源实体是因为关键信息基础设施对国家的重要性。这与2021年勒索软件禁令实施后勒索软件组织、访问卖家及其相关行为者几乎完全没有此类攻击形成鲜明对比。

埃森哲网络威胁情报团队跟踪地下论坛活动发现,多个行为者明确表示希望以西方关键信息基础设施为攻击目标,以支持俄罗斯,包括勒索软件组织Conti和威胁行为者JohnDetmer。JohnDetmer正在地下论坛寻求购买关键信息基础设施的访问权限。

关键信息基础设施实体已从中低目标变成有了针对性的勒索软件活动的重点,这些实体遭受的来自勒索软件组织的出于政治动机的威胁显著增加。这还可能威胁到依赖于关键信息基础设施实体的不间断连续性和服务的实体。这一趋势发生在已经越来越专业化的地下犯罪能够忍受和应对各种犯罪活动的背景下。地下组织中有很多参与者,能够外包网络攻击链的各个步骤,这使得勒索软件组织可以扩大其活动规模,并增加针对特定组织的目标,而不仅仅是采取机会主义的攻击方法。

此外埃森哲研究人员发现,一些攻击者针对自定义恶意软件和漏洞的预算不断增加,其中Integra和FlawlessMarble的预算为500至1000万美元,这使得使他们能够获得几乎任何想要的工具或漏洞利用。此外在地下论坛中寻求网络访问权限的预算高达50万美元。

三、影响及结论

对关键信息基础设施的网络攻击可能导致生命损失、金钱和经济问题、或声誉受损。此外还可能在国内引发重大事件,从而影响整体经济。由于针对关键信息基础设施环境资产的网络攻击,工业运营可能会暂时或永久停止,这可能会给整个供应链带来麻烦。

如果威胁行为者在战争时期对关键信息基础设施发起网络攻击,很容易在公众中造成混乱。因此,关键信息基础设施的单一故障可能会影响军事行动,这些部门正成为国家支持的威胁行为者的积极攻击目标。

Cyble研究人员认为,在未来几个月,涉及关键信息基础设施的事件频率将会上升。由于地缘政治问题,公共领域中关于利用关键信息基础设施所使用技术的大量信息将允许恶意黑客对国家进行多次攻击。目前关键信息基础设施组织当前实施的安全措施仍缺乏安全措施。

四、缓解措施

  • 评估防火墙和路由器配置;
  • 列出ICS环境中的所有组件,并细化检查其中的漏洞; 
  • 更新关键部门的所有设备,如工作站、串行到以太网设备、路由器、传感器等;
  • 限制暴露在互联网上的设备;
  •  适当的网络分段可以防止网络事件发生;
  • 保持强密码策略;
  •  根据员工许可级别限制资产评估;
  • 在关键部门工作的员工及管理人员必须进行网络安全意识培训。

参考资源:

【1】https://blog.cyble.com/2022/03/09/russia-ukraine-crisis-places-critical-infrastructure-at-high-risk/

【2】Accenture, Global Incident Report: Threat Actors Divide Along Ideological Lines over the Russia-Ukraine Conflick on Undergroud Forums, March 2022

【3】https://www.pv-magazine.com/2022/03/01/satellite-cyber-attack-paralyzes-11gw-of-german-wind-turbines/

【4】https://twitter.com/Anonymous_Link

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。