去年10月,美国计算机应急响应小组(US-CERT)发布了针对能源和其他关键基础设施部门的高级持续性威胁(APT)活动的技术警报。最近,它更新了自最初报告发布以来发现的一些新信息,并且这次发布的新报告中还包含一些有趣的启示。
自最初的技术警报发布以来,美国国土安全部(DHS)和联邦调查局(FBI)就与美国乃至国际合作伙伴通力合作,确定此类针对重要基础设施的攻击已经在进行中,并且由未明确的威胁参与者负责执行。新报告包含妥协指标(IOCs)以及APT行为者在易受妥协的受害者网络中使用的策略、技术和程序(TTP)的技术细节。
新报告中最大胆的启示是明确标识出最初技术警报中尚未明确的“威胁行为者”身份。没有任何模棱两可的说辞,新报告中将之前未定形的“威胁行为者”确定为“俄罗斯政府”。
此外,新报告还更新了威胁行为者的攻击活动时间表。在去年10月份的警报中,早期检测到的威胁时间为2017年5月。新报告将该时间修订为2016年3月。这突出表明,针对重要基础设施的攻击活动比先前预想的时间提前了近15个月。最新警报与原始警报保持一致的观点为“此类攻击活动仍在进行中”,这就意味着目标基础设施仍然易受攻击威胁并正处于危险之中。
至于侦察和武器化阶段(网络杀伤链最初的两个阶段),在去年10月份发布的警报中,美国国土安全部将当时的“威胁行为者”确定为对关键基础设施网站和开源资料感兴趣,且指出没有检测到具体攻击行为。新报告推翻了“没有攻击行为”的声明,并对俄罗斯黑客如何使用恶意软件危害工业控制系统(ICS)网络提供了非常详细的描述,包括具体方法、服务器和存储库的IP地址,以及完整的攻击指标(IOC)信息等。此外,攻击者对于零日漏洞、APT和后门技术的利用都表明,旨在接管美国关键基础设施的攻击活动的复杂性和恶意意图。
新报告指出,针对重要基础设施的攻击活动的广度不仅更深,而且还要比想象的更广泛。由于入侵贸易杂志网站(供工控系统人员访问流行新闻的在线网站)比入侵关键基础设施网络要容易得多,报告还对“水坑式攻击”技术的利用进行了描述。所谓“水坑攻击”指的是一种新型钓鱼攻击方式,黑客瞄准目标对象后,先通过对目标的分析了解其行为特点,掌握目标经常访问的网站,然后寻找这些网站的弱点实施攻击,并植入恶意软件。一旦目标用户点击浏览该网站,恶意软件就会被植入目标对象的终端设备。形象的比喻,黑客好比野生动物节目中的猛兽,埋伏在水坑旁边,等着猎物喝水的时候自己送上门来。
此外,更新后的报告中还揭示了攻击者对于漏洞利用的投入。去年10月份发布的警报中指出,“没有任何迹象显示攻击者使用零日漏洞来操纵网站”。但是这句话已经从最新发布的报告中删除,这就意味着,为了访问美国的关键基础设施,俄罗斯黑客特别针对先进的漏洞利用进行了大量投入。新报告还补充道,攻击者还首次尝试了掩盖自己的踪迹,这无疑增加了识别受损基础设施的难度。
在这两份报告中,有一件事是始终保持不变的,它就是攻击目标。两份报告均指出,“攻击活动会影响到能源、核能、水务、航空、建筑以及关键制造行业的多个组织。”
令人担忧的是,修订后的报告还缺少最重要的攻击情景分析细节,即攻击者一旦成功获取到这些关键基础设施的访问权限后会做些什么。更新后的报告只是略微带过,除了2010的Stuxnet蠕虫病毒外,至今尚未发布任何详细的技术报告,详细描述工控系统(ICS)网络中的“最后一英里”(一个比喻,是指将家庭和办公室连接到运营商网络和Internet的任何通信连接)恶意软件。
能够从这份最新报告中得出的结论是,近十年来,俄罗斯威胁行为者一直在进行针对工业基础设施的网络活动。他们和其他人很可能都希望获得“红色按钮”功能,该功能可用于在未来的某个时刻关闭电网或导致其他基础设施的损坏。拥有这些能力会对传统的武装冲突造成更大的破坏和破坏,而且在大多数情况下,组织和国家都并不具备处理这种破坏的能力。
那么,面对如此威胁我们能够做些什么呢?报告最后提供了一些安全实践建议,但是这些建议只能作为一个很好的开始策略,并不意味着所有。报告建议称,与我们锁定IT环境的方式一样,具备前瞻性眼光并锁定OT(运营技术)环境是至关重要的。此外,部署能够实时检测威胁、跟踪资产以及将漏洞用于攻击入口之前发现漏洞的能力也是至关重要的。
无论是电厂、炼油厂、生产设施还是污水处理厂,一旦监督控制和数据采集(SCADA)系统或分布式控制系统(DCS)出现故障,一切都为时已晚。现在是准备应对日益严重的威胁的时候了。只有如此才能保障基础设施稳定运行,最大限度地避免造成难以估量的损害。