1月22日文 以往,能源企业与其它工业企业一直被当做主要攻击目标,安全事件应急响应能力也在不断地升级,但偶尔也会力不从心,不能够作出适当的反应。2016年,CRASHOVERRIDE 恶意软件框架已经成功导致乌克兰一座电站陷入瘫痪,同时攻击了一个值得关注的可扩展蜜罐。
威胁情报绝不仅仅局限于与 CRASHOVERRIDE 攻击情报指标相关的安全违规与利用活动,其亦可帮助我们了解自己正在以及未来需要追寻什么。以下为 CRASHOVERRIDE 恶意软件的相关分析。
典型的工控恶意软件分析
Dragos公司创始人兼CEO罗伯特·M·李最近在某次年度会议上分享了自己在工业控制系统层面的深入专业知识,并详尽阐述了他对于近期最具影响力的工业控制系统恶意软件——CRASHOVERRIDE——攻击活动中的调查结果。这款专门针对工业控制系统的恶意软件被特别制作成攻击框架。李强调称,不要过度关注威胁情报的具体指标层面,而应将重点放在攻击行为以及相关的处理方法身上。
CRASHOVERRIDE 恶意软件本身具备极强的规模扩展能力,其不仅专注于漏洞与利用,同时亦可有效应对电网安全管理人员的操盘。正因为如此,一旦 CRAHOVERRIE 或者相关功能被部署到位,安全人员的操作空间将非常有限,因此必须保证将攻击者阻断在电网体系之外并充分了解屏蔽失败后的应对措施。
2016年,CRASHOVERRIDE 框架摧毁了一座乌克兰传输变电站,2015年乌克兰的电力中断事件引起全球安全人员高度关注,当时涉及该事件的恶意软件BlackEnergy 在媒体报道后虽然得到了广泛的讨论,但它实际上并没有引发中断后果。
李解释称,2015年恶意软件攻击当中最值得关注的部分实际在于操作人员,根据关键性操作取证与时间安排情况来看,当时的参与者估计有20人左右。当时,这些操作人员所运用的攻击执行知识其实正是工业系统操作技术。
恶意软件本身并不能造成电网中断。李强调,真正的根源在于攻击者正努力学习如何控制工业控制系统,并利用其建立自己“开启/关闭”电源的功能。在意识到这一点之后,此次攻击活动背后的动机与行为在重要性方面甚至超过了任何实际指标或者数字哈希值。
在IT行业当中,大部分企业皆设有端点保护、入侵检测系统与防火墙机制,能够及时将异常状况上报给管理员。正因为如此,工业控制系统与IT体系在威胁认知方面存在着巨大差异。从传统角度讲,工业控制系统并不具备用于接入互联网信标的安全接入技术,因此管理员们难以了解当前发生了哪些状况。但这样做也确有其理由,毕竟大多数反病毒程序对于工业控制系统环境造成的危害其实要远高于修复效果。
IT领域拥有更理想的可见性,这意味着随着时间的推移,威胁因素已经呈现出与之对应的属性与规模。多年以来的威胁情报体系已经较为完善,而且针对此类环境的入侵活动也更为多样。相比之下,工业控制系统一直没有进行过有组织的数据收集工作。至少几年前,情况始终没有发生过变化。
可能影响工业控制系统的敌对方、攻击方的身份和手法都很隐秘,其中一部分在没有经过深入的分析之前根本无法被理解甚至被发现。
全球第一个针对供电设施的网络攻击活动发生在哪里?
罗伯特·M·李曾负责为美国国家安全局构建起识别并分析工业环境这一重要的国家级使命。当他发现非洲某民族国家网络活动小组正尝试入侵多个政府与工业站点时,表示非常震惊,这是有史以来第一次针对供电设施的网络攻击活动,因为他此前从未听说过民族国家支持下的网络黑客组织。此后,李发现了多种不同攻击方法,并意识到攻击方正在通过 VPN(即虚拟专用网络) 入侵工业控制系统,进而危害大型工业企业。
李解释称,不同敌对方所采用的方法与入侵技巧皆有所区别。后来,李与几位老队友离开了美国国家安全局并加入了 Dragos公司。
在对2015年的攻击进行调查时,李意识到即使成功完成归因,这类案例由于受到政治因素的干扰仍然很难处理。令人更为沮丧的是,即使向白宫及其它各方提出了建议,仍没有得到采纳,甚至未作任何官方回应。李对美国政府的这种消极反应感到非常不满。
然而,无论政府方面是否介入,民间安全行业仍必须调查攻击事件的真相,众多工业企业已经行动起来,开始为应对这种工作而着手准备、培训并加以协调。
恶意软件相关统计数字
截至目前,只出现了四种(震网Stuxnet、TRITON、Industroyer、CRASHOVERRIDE)专门为工业控制系统量身定制的恶意软件。尽管如此,但针对工业基础设施的恶意活动却数见不鲜。
事实上,工业企业一直以来都面临着攻击活动的威胁;但没有足够的事件帮助这类企业总结正确反应方法与经验教训,更遑论整理与威胁相关的文献知识。如果没有必要的事件响应机制,行业也就不可能从中更好地理解敌对方的特性与行动轨迹。
李解释称,专为工业控制系统定制的恶意软件是一种非常有趣的攻击类型。造成攻击者很难利用工业控制系统处理复杂环境的原因,并不在于他们无法理解其中使用的协议或者控制系统本身太过艰深,而是因为这类系统在物理实现与工程技术层面往往彼此之间截然不同。攻击者并非无法完成入侵活动,相反,其面临的真正难题在于很难真正通过攻击实现大规模破坏的目的。
乌克兰到底遭遇了什么?
从本质上讲,CRASHOVERRIDE 恶意软件框架能够从2015年的事故当中总结出电网运营知识与经验教训。由于并不涉及具体安全漏洞或者利用手段,因此其能够在世界各地的基础设施站点处使用,且几乎不需要经过任何调整。然而,其真正实施仍然要求人为活动的介入。2015年在乌克兰停电事故持续了3~6小时,约140万人受到影响。2016年乌克兰基辅停电事故只持续了大约一个小时。
在谈到该恶意软件的影响时,李表示:“ CRASHOVERRIDE 的有趣之处在于,其入侵了预先设置的蜜罐。我们发现了一些极具规模扩展能力的特性,但其并不能够在物理层面破坏设备,也不会产生永久性的影响,但该恶意软件仍然具有一定的破坏力。”李希望能够超越恶意软件本身,转而将注意力集中在敌对方身上,即此次事件背后的威胁组织。
尽管已经确定了 CRASHOVERRIDE 框架的开发方为威胁组织ELECTRUM,但该组织本身并非恶意活动的执行者。根据李的调查结果显示,2016年对基辅输电变电站实施攻击并导致变电站暂时性瘫痪的实际上是 Sandworm(沙虫) 黑客组织。
Recorded Future公司针对此次攻击为 ELECTRUM集团制作的情报卡
研究发现,恶意软件确实能够操纵数据流并实现数据控制,但却并不会破坏物理对象。恶意软件的工作本质上只是了解电网的工作原理,并利用这些知识协助攻击者破坏电网。
恶意软件 CRASHOVERRIDE 不存在补丁,没有解决办法。一旦其被部署到位或者成功入侵到目标企业之内,供电流程将必然受到影响。能够解决这种攻击的方式智能是提前预防,避免攻击事件发生。
从框架本身来看,其中包含众多IT部门所熟悉的元素:启动器、后门以及从系统当中删除文件的能力。在上图的底部,大家可以看到欧洲电网当中所列出的使用协议,具体包括IEC 104、IEC 101、61850以及OPC。实际上,这些协议并不需要全部纳入攻击流程。据此判断此次攻击相较于真实破坏,更像是一种测试性探索。
要成功实现攻击活动,实际上只需要一项协议即可完成与系统之间的交互,即IEC 104。所有其它协议都只是为了实现框架开发,即构建起一套可保证攻击者以本地方式运行的可扩展框架。李表示,对方并不打算利用 CRASHOVERRIDE 造成重大损失。其行为根本无从应对,因为整套攻击流程的根基恰恰是电网本身的天然运行方式。
威胁情报的意义
李指出,威胁情报的意义并不在于对这起影响巨大的攻击加以检测; 相反,其意义在于帮助安全人员在完成检测之后,确切理解自己所看到的情况。在利用网络攻击手段导致电网瘫痪方面,全球已经出现过两起实际案例:
其一在可扩展性方面较为有限;
其二则不仅极具可扩展性,而且为敌对方提供了大量新知识。
李总结道,“面对这两次攻击,西方政府的高层领导人都没有出面作出任何谴责。但作为情报专业人员,必须弄清事件背后的来龙去脉。”
也许这对于您所在的企业而言并不重要,但这项工作的意义并不在于生成您感兴趣的情报,而是坚持对事件作出真实描述。工业控制系统领域正在采取行动,希望让人们意识到威胁情报制度拥有全国性的影响,因此立足自身安全策略接纳这类信息将非常重要。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。