US-CERT:針對重要基礎設施的威脅遠比想象的更糟糕
責編:gltian |2018-04-27 11:58:56去年10月,美國計算機應急響應小組(US-CERT)發布了針對能源和其他關鍵基礎設施部門的高級持續性威脅(APT)活動的技術警報。最近,它更新了自最初報告發布以來發現的一些新信息,并且這次發布的新報告中還包含一些有趣的啟示。
自最初的技術警報發布以來,美國國土安全部(DHS)和聯邦調查局(FBI)就與美國乃至國際合作伙伴通力合作,確定此類針對重要基礎設施的攻擊已經在進行中,并且由未明確的威脅參與者負責執行。新報告包含妥協指標(IOCs)以及APT行為者在易受妥協的受害者網絡中使用的策略、技術和程序(TTP)的技術細節。
新報告中最大膽的啟示是明確標識出最初技術警報中尚未明確的“威脅行為者”身份。沒有任何模棱兩可的說辭,新報告中將之前未定形的“威脅行為者”確定為“俄羅斯政府”。
此外,新報告還更新了威脅行為者的攻擊活動時間表。在去年10月份的警報中,早期檢測到的威脅時間為2017年5月。新報告將該時間修訂為2016年3月。這突出表明,針對重要基礎設施的攻擊活動比先前預想的時間提前了近15個月。最新警報與原始警報保持一致的觀點為“此類攻擊活動仍在進行中”,這就意味著目標基礎設施仍然易受攻擊威脅并正處于危險之中。
至于偵察和武器化階段(網絡殺傷鏈最初的兩個階段),在去年10月份發布的警報中,美國國土安全部將當時的“威脅行為者”確定為對關鍵基礎設施網站和開源資料感興趣,且指出沒有檢測到具體攻擊行為。新報告推翻了“沒有攻擊行為”的聲明,并對俄羅斯黑客如何使用惡意軟件危害工業控制系統(ICS)網絡提供了非常詳細的描述,包括具體方法、服務器和存儲庫的IP地址,以及完整的攻擊指標(IOC)信息等。此外,攻擊者對于零日漏洞、APT和后門技術的利用都表明,旨在接管美國關鍵基礎設施的攻擊活動的復雜性和惡意意圖。
新報告指出,針對重要基礎設施的攻擊活動的廣度不僅更深,而且還要比想象的更廣泛。由于入侵貿易雜志網站(供工控系統人員訪問流行新聞的在線網站)比入侵關鍵基礎設施網絡要容易得多,報告還對“水坑式攻擊”技術的利用進行了描述。所謂“水坑攻擊”指的是一種新型釣魚攻擊方式,黑客瞄準目標對象后,先通過對目標的分析了解其行為特點,掌握目標經常訪問的網站,然后尋找這些網站的弱點實施攻擊,并植入惡意軟件。一旦目標用戶點擊瀏覽該網站,惡意軟件就會被植入目標對象的終端設備。形象的比喻,黑客好比野生動物節目中的猛獸,埋伏在水坑旁邊,等著獵物喝水的時候自己送上門來。
此外,更新后的報告中還揭示了攻擊者對于漏洞利用的投入。去年10月份發布的警報中指出,“沒有任何跡象顯示攻擊者使用零日漏洞來操縱網站”。但是這句話已經從最新發布的報告中刪除,這就意味著,為了訪問美國的關鍵基礎設施,俄羅斯黑客特別針對先進的漏洞利用進行了大量投入。新報告還補充道,攻擊者還首次嘗試了掩蓋自己的蹤跡,這無疑增加了識別受損基礎設施的難度。
在這兩份報告中,有一件事是始終保持不變的,它就是攻擊目標。兩份報告均指出,“攻擊活動會影響到能源、核能、水務、航空、建筑以及關鍵制造行業的多個組織。”
令人擔憂的是,修訂后的報告還缺少最重要的攻擊情景分析細節,即攻擊者一旦成功獲取到這些關鍵基礎設施的訪問權限后會做些什么。更新后的報告只是略微帶過,除了2010的Stuxnet蠕蟲病毒外,至今尚未發布任何詳細的技術報告,詳細描述工控系統(ICS)網絡中的“最后一英里”(一個比喻,是指將家庭和辦公室連接到運營商網絡和Internet的任何通信連接)惡意軟件。
能夠從這份最新報告中得出的結論是,近十年來,俄羅斯威脅行為者一直在進行針對工業基礎設施的網絡活動。他們和其他人很可能都希望獲得“紅色按鈕”功能,該功能可用于在未來的某個時刻關閉電網或導致其他基礎設施的損壞。擁有這些能力會對傳統的武裝沖突造成更大的破壞和破壞,而且在大多數情況下,組織和國家都并不具備處理這種破壞的能力。
那么,面對如此威脅我們能夠做些什么呢?報告最后提供了一些安全實踐建議,但是這些建議只能作為一個很好的開始策略,并不意味著所有。報告建議稱,與我們鎖定IT環境的方式一樣,具備前瞻性眼光并鎖定OT(運營技術)環境是至關重要的。此外,部署能夠實時檢測威脅、跟蹤資產以及將漏洞用于攻擊入口之前發現漏洞的能力也是至關重要的。
無論是電廠、煉油廠、生產設施還是污水處理廠,一旦監督控制和數據采集(SCADA)系統或分布式控制系統(DCS)出現故障,一切都為時已晚。現在是準備應對日益嚴重的威脅的時候了。只有如此才能保障基礎設施穩定運行,最大限度地避免造成難以估量的損害。