本周三,包括美國能源部(DOE)、網絡安全和基礎設施安全局(CISA)和聯邦調查局(FBI)在內的多個機構,向關鍵基礎設施運營商發出了嚴重的潛在攻擊警報。近年來,某些持續威脅(APT)參與者創建了許多定製工具,並在針對工業控制系統(ICS)、監控和數據採集設備(SCADA)等關鍵基礎設施的攻擊事件中發揮了相當大的威力。
(來自:CISA)
具體說來是,此類攻擊多針對施耐德電氣的 PLC(通用控制器)、歐姆龍 Sysmac N PLC 和開放平台統一通信架構(OPC UA)服務器而發起。
鑒於上述產品亦在美國諸多重要的工業設施中得到了廣泛的使用,美國多個聯邦部門在警報中發出了嚴厲的提醒:
一旦被攻擊者獲得對相關運營技術(OT)的最終訪問權限,特定工具將能夠對內網進行掃描、破壞和建立遠程控制能力。
此外針對工控主板驅動漏洞的利用,也潛在於基於 Windows 操作系統的工程信息技術(IT)或 OT 環境的工作站中。
通過制定和維護對 ICS / SCADA 設備的訪問權限,APT 參與者可順利提權、在 OT 環境中四處遊盪,進而破壞關鍵設備或系統功能。
正因如此,有關部門才不厭其煩地在每一份館建設施實施警報中給出相關檢測和緩解建議。
本輪攻擊波及施耐德電氣的 MODICON 和 MODICON Nano PLC,影響 TM251、TM241、M258、M23、LMC058 和 LMC078 等型號。
歐姆龍 Sysmac NJ NX8 PLC 亦有在列,受影響的產品涵蓋了 NEX NX1P2、NX-SL3300、NX-ECC203、NJ501- 1300、S8VK 和 R88D-1SN10F-ECT 等型號。
ICS 網絡安全軟件公司 aDolus Technology 首席技術官 Eric Byres 在接受 The Record 採訪時指出:基於通用的“共同合作協議”,OPC UA 的大多數供應商系統都允許配合多方的產品使用。
安全公司 Dragos 首席執行官 Robert Lee 補充道,他們一直在追蹤此類針對 ICS 的惡意軟件。可知其最初以施耐德電氣和歐姆龍等廠家的產品為目標,且會利用本機功能來逃避安全檢測。
慶幸的是,大部分此類惡意軟件尚未在目標網絡中被激活,意味着廣大基礎設施運營商仍有機會在災難發生前迅速落實防禦措施。
據悉,此類惡意軟件最初似乎特別針對液化天然氣和電力等能源基礎設施。但從本質上來剖析,可知其亦可在各種各樣的工業控制器和系統上運行。
相關文章:
烏克蘭宣稱挫敗了Sandworm黑客組織想要攻擊該國能源供應商的企圖