Recorded Future在当地时间9月29日发布的一份报告中披露,自今年年初以来,已有八家半导体公司遭到勒索软件攻击者的攻击和勒索。这些攻击包括使用LockBit、LV勒索软件和Cuba勒索软件,由Lapsus$ Group和 ansomHouse等勒索组织实施。该报告分析了半导体行业的重要性及其在日益复杂的地缘政治环境中所扮演的角色,此外还确定了勒索软件攻击者在攻击中使用的策略、技术和程序 (TTP)。

Recorded Future 29日报告的主要发现有6个方面:

1、在当今信息技术驱动的全球化经济中,半导体制造业是一个关键行业,这使其成为勒索软件威胁者和勒索集团的主要目标。

2、勒索软件威胁者在对半导体公司的攻击中使佣了各种TTP。其中包括使用恶意软件加密数据;以泄露资料为威胁的勒索;源代码和知识产权的发布;使用窃取的代码签名证书为恶意软件签名;以及向行业竞争对手或敌对民族国家出售专有数据的可能性。

3、勒索软件威胁行为者的动机多种多样,从纯粹的经济驱动,到寻求刺激,再到可能的战略性窃取知识产权。

4、虽然这里分析的针对半导体公司的网络攻击都与民族国家组织没有直接联系,但行业报告发现,由国家支持的威胁行动者伪装成勒索软件组织,并使用至少5种勒索软件变体——LockFile、AtomSilo、Rook、Night Sky和Pandora——进行网络间谍活动。

5、在大多数情况下,糟糕的安全实践导致勒索软件参与者最初的妥协,从而导致数据和信息的盗窃。

6、由于对半导体主导权的竞争是大陆和台湾之间经济竞争的核心,针对半导体公司的网络攻击和工业间谍活动很可能会继续。

报告称,极有可能台湾和美国面临网络攻击的风险,而不是直接的军事对抗,而半导体公司可能是目标。“我们认为,俄罗斯和朝鲜有意图、有能力和政治意愿对美国及其盟国,特别是台积电和三星等顶级半导体公司进行网络攻击。我们预计网络犯罪分子不仅会直接针对这些半导体公司,还会针对他们的合作伙伴公司、客户和原材料供应商进行网络攻击。”

Recorded Future的报告认为,在当前半导体芯片短缺的情况下,半导体行业的任何延误或中断都将对全球各行业的生产能力产生不利影响,并可能导致全球经济状况恶化。反过来,这也可能导致未来的社会动荡和经济困难导致的政治转变,这将服务于民族国家的政治、军事、经济和技术利益。

除了分析每个攻击组织的TTP 和攻击背后的可能动机外,Recorded Future在其报告中探讨了半导体行业的经济和战略重要性,以及它在美中/台湾和亚洲的地缘政治中发挥的关键作用。这种复杂的关系可能预示着网络犯罪和国家支持的团体在不久的将来会对半导体行业进行网络攻击。

2022年,Recorded Future观察到AMD和NVIDIA分别遭受了数据盗窃和勒索。AMD在1月份遭到RansomHouse团伙的袭击,NVIDIA在3月份遭到Lapsus$ Group的攻击和勒索。Recorded Future还观察到包括三星、Ignitarium、Diodes Inc.、Etron Technology、SilTerra Malaysia Sdn. Bhd. 在内的半导体制造商均遭遇安全事件。Bhd. 和Semikron 在2022年迄今已受到勒索软件攻击的影响。

Recorded Future表示,根据他们的研究,发现对半导体公司的攻击不一定是由勒索软件运营商进行的,而是由其关联公司使用勒索软件即服务 (RaaS)和双重勒索模型进行的。大多数顶级勒索软件团伙,包括Conti、LockBit和REvil,都采用了RaaS 商业模式,其附属机构使用现成的工具包执行勒索软件攻击,并从每次成功支付的赎金中赚取一定比例。RaaS使没有高水平技术专长的威胁行为者能够发起和执行他们的攻击。”

该报告还发现,所有勒索软件团伙都采用双重勒索策略,在各自的勒索博客上泄露受害者数据,这表明这些勒索软件团伙未能成功让大量受害者支付其所要求的赎金。“本报告中分析的大多数受害者都是这种情况。我们还发现了威胁敲诈勒索,但在针对半导体公司时未使用勒索软件的威胁行为者。这表明更多有意图和意愿的技术和非技术威胁行为者都以半导体公司为目标。

由于半导体是智能手机、计算机、汽车、电器、电视和先进医疗诊断设备等电子设备的核心,因此对半导体行业的任何干扰都可能影响所有其他制造业。

Recorded Future透露,勒索软件黑客在攻击半导体公司时采用了TTP。其中包括使用恶意软件加密数据、通过数据暴露威胁进行勒索、发布源代码和知识产权、使用窃取的代码签名证书对恶意软件进行签名,以及将专有数据出售给行业竞争对手的可能性或敌对的民族国家。

据Recorded Future报道,勒索软件威胁行为者的动机范围从纯粹的经济驱动到寻求刺激,再到可能的战略性知识产权盗窃。虽然这里分析的针对半导体公司的网络攻击都没有与民族国家组织直接相关,但行业报告发现国家资助的威胁行为者伪装成勒索软件组织并使用至少5种勒索软件变体——LockFile、AtomSilo、Rook、Night Sky和潘多拉——进行网络间谍活动。

在大多数情况下,糟糕的安全实践导致勒索软件攻击者最初的访问突破,从而导致数据和信息被盗。由于半导体竞争是中国大陆和台湾经济竞争的核心,Recorded Future认为,针对半导体公司的网络攻击和工业间谍活动很可能会继续。

美国政府目前并未将半导体行业定义为关键基础设施行业,也未明确将其列入关键制造业。但是,虽然在撰写报告时半导体行业可能并未被列为关键基础设施行业,但随着人们对其战略重要性的日益认可,以及美国政府支持国内芯片生产的计划,Recorded Future认为很有可能美国政府未来可能将半导体公司归类为关键基础设施行业,这将成为阻止勒索软件关联公司针对该行业的新威慑。

Recorded Future还表示,它认为民族国家黑客可能已经成为RaaS运营商的附属机构,并正在使用不同的勒索软件系列进行网络攻击,其主要目标是从半导体公司窃取 知识产权。通过这样做,这些民族国家的威胁行为者可以使用现成的勒索软件来加密和窃取信息,并使网络攻击看起来像是来自勒索软件组的攻击。

随着针对关键基础设施和半导体公司等备受瞩目的目标的攻击在全球范围内引起公众关注,威胁组织通常以匿名为幌子运作,转而将归属转移到勒索软件组织。

上个月,美国总统乔·拜登签署了一项两党法案,通过在国内半导体制造和科学研究上投资527亿美元来加强美国对中国的竞争力。该法案名为CHIPS(为生产半导体创造有益的激励措施)和 2022年科学法案,包括投资和税收抵免,以鼓励对半导体制造的投资。

Recorded Future表示,半导体行业的激烈竞争是中国与台湾乃至整个亚太地区地缘政治斗争的核心,因为中国过去在半导体方面的进步。报告认为不排除民族国家参与这些针对半导体公司的勒索软件攻击的可能性。此外,民族国家也可能隐藏在勒索软件运营商及其附属机构的幕后,不太可能对半导体公司的知识产权和数据盗窃负责。为民族国家利益运作的威胁组织,已经利用多种勒索软件来加密、窃取或破坏IP 数据。

上周,Recorded Future详细介绍了威胁黑客组织 UAC-0113 使用的独特基础设施,乌克兰计算机应急响应小组 (CERT-UA) 以高度的信心认为是俄罗斯高级持续威胁 (APT) 组织 Sandworm。该报告重点关注Insikt 集团在监控UAC-0113基础设施时观察到的趋势,包括频繁使用伪装成在乌克兰运营的电信提供商的动态DNS域,这表明该集团针对乌克兰实体的努力仍在继续。

参考资源

1、https://industrialcyber.co/reports/ransomware-attacks-on-semiconductor-companies-will-have-detrimental-impact-on-production-capabilities-recorded-future-says/

2、https://www.recordedfuture.com/semiconductor-companies-targeted-by-ransomware?utm_campaign=PostBeyond&utm_source=LinkedIn&utm_medium=%23358392&utm_term=Semiconductor+Companies+Targeted+by+Ransomware

声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。