在2022年,针对工业基础设施的网络攻击越来越复杂,数量也越来越多。研究发现,采用一个模块化恶意软件工具包,就能够针对不同行业垂直领域的数万个工业控制系统(ICS)进行攻击。与此同时,Dragos公司发布的事件响应报告表明,80%受影响的环境缺乏对工业控制系统(ICS)流量的可见性,一半的环境存在网络分段问题,其OT网络的外部连接不受控制。

Dragos公司的研究人员在一份最新发布的年度报告中说:“Dragos公司追踪的许多威胁在未来可能会演变出颠覆性和破坏性的能力,因为网络威胁行为者通常会进行广泛的研究和开发,并随着时间的推移实施他们的程序和活动,这项研发为他们未来的活动提供了信息,并最终提高了他们的破坏能力。”

跟踪活跃的ICS威胁团伙

自从2020年以来,Dragos公司一直在跟踪20个针对工业基础设施攻击的威胁组织和团伙。在这些团伙中,有8个在去年比较活跃,其中包括被Dragos公司命名为Chernovite和Bentonite的新团伙。

在这两个团伙中,Chernovite表现比较突出,展示了ICS网络杀伤链第一阶段和第二阶段的各个方面:第一阶段是初始入侵和侦察活动,允许网络攻击者收集有关运营技术(OT)环境的信息,帮助他们开发针对特定ICS实施的能力。第二阶段是将第一阶段收集的信息实现武器化,并发展实际影响ICS的能力。

Chernovite是一个高度复杂的恶意软件平台的幕后黑手,该平台能够攻击Dragos称之为Piperdream的工业控制系统,网络安全服务商Mandiant公司将其称为Incontroller。该恶意软件在2022年初被发现,据悉是由政府支持开发的。Dragos公司没有进行攻击归因评估,Mandiant公司指出,这符合某国对攻击ICS的兴趣,但其证据是间接的。

Dragos公司的首席执行官兼联合创始人Robert M.Lee在新闻发布会上表示,Piperdream或Incontroller在被“使用”之前就被发现了,这意味着虽然攻击者没有发动攻击,但已经非常接近。在他看来,恶意软件没有得到应有的关注,可能是因为在造成损害之前就被发现了,但它具有非常有效的破坏性和破坏能力,可能是有史以来最接近让美国和欧洲基础设施中断运营的攻击。

他说,“我不想炒作任何事情,因为并没有基础设施遭到更大的攻击,所以有些事情没有发生,但我认为人们不明白它离发生有多近。”

据悉,Chernovite团伙的目标是十几个关键的电力和液体天然气站,但恶意软件的攻击绝不局限于这些行业。事实上,Pipedream是有史以来第一个利用一些最广泛的ICS协议中的原生功能的ICS恶意软件,包括施耐德电气、欧姆龙、CODESYS PLC以及支持OPC统一架构(OPC UA)标准的任何PLC所使用的协议。

换句话说,任何基础设施运营商可以通过这些协议做的事情,恶意软件都可以做。Lee表示,在某种程度上,它比任何特定供应商的工程工作站软件更令人印象深刻,因为该软件只能与特定供应商的PLC一起工作,但Pipedream可以与所有这些软件一起工作。

Lee说,“这令人印象深刻,所以,它最初的设计目标是15种特定类型的设备,但目前它可以在社区中部署的数千个不同的控制器和设备、数百个不同的供应商以及几乎所有行业中运行。”

最糟糕的是,这些漏洞没有可以修补的补丁,因为它几乎都是原生功能。Dragos表示将会看到这种恶意软件再次部署,并且没有简单的解决办法,那些只关注预防而不做检测和应对的企业,几乎无法对抗这种攻击。

Lee说,“全球大约5%的基础设施正在受到监控。我们所有的努力都是为了防止网络攻击,我想说的是,虽然受到监控的基础设施比例较小,我们仍然发现了一些相当可怕的事情。”

Bentonite团伙在2022年被发现,目前该团伙只显示了第一阶段的能力,其主要目标是制造业和石油天然气行业,但它选择的受害者似乎是随机的,利用他们发现的任何对外暴露的远程访问连接或利用互联网资产。该团伙植入的恶意软件并不引人注目。然而Dragos公司警告说,该团伙很狡猾,其收集的信息将允许它在未来进入OT网络,例如工业设备图或物理过程的数据。

另一个在2022年仍然活跃的网络威胁团伙是Kostovite,这是一个最初在2021年发现的群体,已经证明了进行横向移动并到达OT和ICS网络的能力。它通常利用企业外围环境,并可以使用零日漏洞。有证据表明,它的目标可能与APT5有一些重叠。

Kamacite和Electrum是两个继续实施攻击活动的ICS威胁团伙,并与Sandworm有关,Sandworm被认为是某国军事情报机构(GRU)的一个单位。Sandword使用NotPetya恶意软件进行了破坏性攻击,使用BlackEngery和Industrierr恶意软件程序对乌克兰电网进行了多次攻击。Kamacite通过一个名为“Cyclops Blink a”的植入物获得对网络的初始访问权,然后将该访问权传递给Electrum,后者通常负责造成破坏性影响。Kamacite攻击的目标包括欧洲、乌克兰和美国的基础设施。

Xenomite是另一个仍然活跃的ICS威胁团伙,主要专注于针对中东和美国的电力、石油和天然气公司进行破坏,其目标似乎经过精心挑选,并且它们之间存在联系。这表明,该集团从非公开来源对石油和天然气行业有细致入微的了解,从而能够确定压力点。

Xenomite是开发Triton软件的团伙,Triton是一个恶意软件框架,2017年使沙特阿拉伯的一家公司正在使用的Trisis仪器安全系统(SIS)失效。这使得Xenomite成为有动机和能力摧毁关键基础设施的团体之一。

Erythrite是ICS网络杀伤链第一阶段的威胁团伙,该团伙使用不太复杂的技术,例如搜索引擎优化(SEO)中毒和自定义恶意软件。该团伙的重点是数据和证书盗窃,但其大规模活动,尤其是针对制造业的活动令人担忧。它的目标包括约20%的财富500强公司,大部分位于美国和加拿大。Dragos说,对于IT和OT之间网络分段较差的企业来说,该团伙是一个特别大的威胁。

最后,Wassonite是一个处在第一阶段的团伙,专注于攻击来自南亚和东亚的核能、电力、石油和天然气、先进制造业、制药和航空航天行业。该团伙使用DTrack和AppleSeed远程访问木马,这些木马通过为特定行业和组织定制的鱼叉式网络钓鱼诱饵分发。

除了这些企业的有针对性的威胁之外,Dragos还指出,去年针对工业组织的勒索软件攻击增加了87%,其中制造业是受影响最大的行业。LockBit的攻击次数最多,其次是现在已经解散的Conti ransomware、BlackBasta和Hive。

ICS漏洞和盲点

与2021年相比,专门针对ICS相关硬件和软件的漏洞数量增加了27%,但这并不能反映全局,因为并非所有漏洞数量增长都是相同的,尤其是在ICS领域。

因此,Dragos公司对这些漏洞进行了更深入的风险评估,发现15%的漏洞位于企业网络的设备中,85%位于ICS网络深处。此外,一半漏洞没有导致能见度或控制力的丧失。更大的问题是,在打补丁经常涉及关闭运营和关键设备的行业,资产所有者严重依赖于缓解措施,而在提供补丁的70%的供应商中,51%的供应商表示没有包含任何缓解措施。另有30%表示没有补丁,16%表示没有实际的缓解措施。

在34%的供应商中,Dragos公司发现了错误的数据,例如错误的软件编号、错误的硬件型号、错误的版本等等。该公司评估,在70%的情况下,严重程度评分应该高于供应商指定的评分,30%的情况下低于供应商指定的评分。

好消息是,根据Dragos公司的风险评估,将漏洞分为立即修补、下一个周期修补和不应该关注三种,只有2%属于立即修补类别。另外95%的漏洞可以推迟到下一个周期修补,并通过网络分段、监控和多因素身份验证来缓解。3%的漏洞的作用或者被夸大,或者完全错误,属于最后一类。

根据该公司进行的安全评估,最常见的问题是ICS环境中缺乏可见性,80%的客户的OT可见性有限。然而,2022年比前一年下降了6%,因此有所改善。一半的客户存在网络分段问题,下降了27%。53%的客户有未公开或不受控制的OT网络连接,与2021年相比下降了17%。整个行业的情况仍然不太好,而且有一个领域似乎正在变得更糟,那就是IT和OT之间缺乏用户管理分离,54%的企业存在这种情况,与2021年相比增加了10%。

Lee说:“这是我们在大量勒索软件案例中看到的事情之一,勒索软件参与者的目标是IT网络,通过Active Directory域控制器传播勒索软件,然后进入运营网络,即使它不是他们通过共享凭证的目标。”

最令人担忧的发现之一是,80%的被评估客户仍然没有对其ICS系统的可见性,80%的企业相对成熟,并接受Dragos等网络安全服务商的服务。事实上,这个数字可能更高。

Lee说,“如果企业不知道自己有什么,就不知道自己有多少资产,它们是如何连接的,谁在连接它们,以及任何类型的检测。企业永远不会得到根本原因分析,或了解哪里出了问题,或能够发现对手。平均而言,80%以上的企业根本无法做到这一点,当谈论关键基础设施和管道时,这显然是一个令人担忧的问题。”

ics 网络攻击 网络安全 漏洞
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接