研究表明,针对互联网攻击者不断针对工业基础建设实施攻击,防范措施难以取得成效

发布时间：2023-03-02 10:31:21 所属栏目：安全来源：

导读：在2022年，针对工业基础设施的网络攻击越来越复杂，数量也越来越多。研究发现，采用一个模块化恶意软件工具包，就能够针对不同行业垂直领域的数万个工业控制系统(ICS)进行攻击。与此同时，Dragos公司发布的事件响应报

在2022年，针对工业基础设施的网络攻击越来越复杂，数量也越来越多。研究发现，采用一个模块化恶意软件工具包，就能够针对不同行业垂直领域的数万个工业控制系统(ICS)进行攻击。与此同时，Dragos公司发布的事件响应报告表明，80%受影响的环境缺乏对工业控制系统(ICS)流量的可见性，一半的环境存在网络分段问题，其中OT网络的外部连接不受控制。

Dragos公司的研究人员在一份最新发布的年度报告中说:“Dragos公司追踪的许多威胁在未来可能会演变出颠覆性和破坏性的能力，因为网络威胁行为者通常会进行广泛的研究和开发，并随着时间的推移实施他们的程序和活动，这项研发为他们未来的活动提供了信息，并最终提高了他们的破坏能力。”

跟种活跃的ICS威胁团伙
自从2020年以来，Dragos公司一直在跟踪20个针对工业基础设施攻击的威胁组织和团伙。在这些团伙中，有8个在去年比较活跃，其中包括被Dragos公司命名为Chernovite和Bentonite的新团伙。

在这两个团伙中，Chernovite表现比较突出，展示了ICS网络杀伤链第一阶段和第二阶段的各个方面：第一阶段是初始入侵和侦察活动，允许网络攻击者收集有关运营技术(OT)环境的信息，帮助他们开发针对特定ICS实施的能力。第二阶段是将第一阶段收集的信息实现武器化，并发展实际影响ICS的能力。

Chernovite是一个高度复杂的恶意软件平台的幕后黑手，该平台能够攻击Dragos称之为Piperdream的工业控制系统，网络安全服务商Mandiant公司将其称为Incontroller。该恶意软件在2022年初被发现，据悉是由政府支持开发的。Dragos公司没有进行攻击归因评估，Mandiant公司指出，这符合某国对攻击ICS的兴趣，但其证据是间接的。

Dragos公司的首席执行官兼联合创始人Robert M.Lee在新闻发布会上表示，Piperdream或Incontroller在被“使用”之前就被发现了，这意味着虽然攻击者没有发动攻击，但已经非常接近。在他看来，恶意软件没有得到应有的关注，可能是因为在造成损害之前就被发现了，但它具有非常有效的破坏性和破坏能力，可能是有史以来最接近让美国和欧洲基础设施中断运营的攻击。

他说,“我不想炒作任何事情，因为并没有基础设施遭到更大的攻击，所以有些事情没有发生，但我认为人们不明白它离发生有多近。”

据悉，Chernovite团伙的目标是十几个关键的电力和液体天然气站，但恶意软件的攻击绝不局限于这些行业。事实上，Pipedream是有史以来第一个利用一些最广泛的ICS协议中的原生功能的ICS恶意软件，包括施耐德电气、欧姆龙、CODESYS PLC以及支持OPC统一架构(OPC UA)标准的任何PLC所使用的协议。

最糟糕的是，这些漏洞没有可以修补的补丁，因为它们几乎都是原生功能。Dragos表示将会看到这种恶意软件再次部署，并且没有简单的解决办法，那些只关注预防而不做检测和应对的企业，几乎无法对抗这种攻击。

Lee说，“全球大约5%的基础设施正在受到监控。我们所有的努力都是为了防止网络攻击，我想说的是，虽然受到监控的基础设施比例较小，然而,我们仍然在某些方面发现了令人恐慌的情况。

Bentonite团伙在2022年被发现，目前该团伙只显示了第一阶段的能力，其主要目标是制造业和石油天然气行业，但它选择的受害者似乎是随机的，利用他们发现的任何对外暴露的远程访问连接或利用互联网资产。该团伙植入的恶意软件并不引人注目。然而Dragos公司警告说，该团伙很狡猾，其收集的信息将允许它在未来进入OT网络，包括例如传感器的工业设备运行图或生产物理设备的过程的数据。

另一个在2022年仍然活跃的网络威胁团伙是Kostovite，这是一个最初在2021年发现的群体，已经证明了进行横向移动并到达OT和ICS网络的能力。它通常利用企业外围环境，并可以使用零日漏洞。有证据表明，它的目标可能与APT5有一些重叠。

Xenomite是开发Triton软件的团伙，Triton是一个恶意软件框架，2017年使沙特阿拉伯的一家公司正在使用的Trisis仪器安全系统(SIS)失效。这使得Xenomite成为有动机和能力摧毁关键基础设施的团体之一。

Erythrite是ICS网络杀伤链第一阶段的威胁团伙，该团伙使用不太复杂的技术，例如搜索引擎优化(SEO)中毒和自定义恶意软件。该团伙的重点是数据和证书盗窃，但其大规模活动，尤其是针对制造业的活动令人担忧。它的目标包括约20%的财富500强公司，大部分位于美国和加拿大。Dragos说，对于IT和OT之间网络分段较差的企业来说，该团伙是一个特别大的威胁。

最后，Wassonite是一个处在第一阶段的团伙，专注于攻击来自南亚和东亚的核能、电力、石油和天然气、先进制造业、制药和航空航天行业。该团伙使用DTrack和AppleSeed远程访问木马，这些木马通过为特定行业和组织定制的鱼叉式网络钓鱼诱饵分发。

ICS漏洞和盲点
与2021年相比，专门针对ICS相关硬件和软件的漏洞数量增加了27%，但这并不能反映全局，因为并非所有漏洞数量增长都是相同的，尤其是在ICS领域。

因此，Dragos公司对这些漏洞进行了更深入的风险评估，发现15%的漏洞位于企业网络的设备中，85%位于ICS网络深处。此外，一半漏洞没有导致能见度或控制力的丧失。更大的问题是，在打补丁经常涉及关闭运营和关键设备的行业，资产所有者严重依赖于缓解措施，而在提供补丁的70%的供应商中，51%的供应商表示没有包含任何缓解措施。另有30%表示没有补丁，16%表示没有实际的缓解措施。

在34%的供应商中，Dragos公司发现了错误的数据，例如错误的软件编号、错误的硬件型号、错误的版本等等。该公司评估，在70%的情况下，严重程度评分应该高于供应商指定的评分，30%的情况下低于供应商指定的评分。

最令人担忧的发现之一是，80%的被评估客户仍然没有对其ICS系统的可见性，80%的企业相对成熟，并接受Dragos等网络安全服务商的服务。事实上，这个数字可能更高。

Lee说，“如果企业不知道自己有什么，就不知道自己有多少资产，它们是如何连接的，谁在连接它们，以及任何类型的检测。企业永远不会得到根本原因分析，或了解哪里出了问题，或能够发现对手。平均而言，80%以上的企业根本无法做到这一点，当谈论关键基础设施和管道时，这显然是一个令人担忧的问题。”这显然是一个令人担忧的问题。”因为它们往往是最脆弱的部分。”他说。“如果我们能够解决这个问题，我们就能更好地应对未来的挑战。”

（编辑：驾考网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!