美国能源部(doe)、国安局(nsa)、联邦调查局(fbi)与美国网络安全及基础设施安全局(cisa)本周联手警告,已有特定的先进持续威胁(apt)黑客组织展示了它们访问工业控制系统(ics)及系统监控和资料搜集(scada)系统的能力,涵盖施耐德电机(schneider electric)与欧姆龙(omron)的sysmac nex可程序化逻辑控制器,以及开源且跨平台的传感器传输标准opc unified architecture(opc ua)。
调查显示,这群apt黑客已开发出锁定这些ics/scada设备的定制化工具,当它们成功进入运营技术(ot)网络之后,便得以利用这些工具来扫描、危害并控制受影响的设备,此外,黑客还能开采华擎主板驱动程序的已知漏洞,黑进it或ot环境中的windows工程工作站。
在取得ics/scada设备的访问权限之后,黑客可扩张权限以于ot环境中横向移动,并破坏重要设备或功能。
黑客所使用的工具采用模块化架构,具备高度的自动化攻击能力,相关工具也模拟了目标设备的接口,以降低操作门槛,这些针对施耐德电机、欧姆龙与opc ua所打造的工具能够扫描目标设备,侦测设备细节,还能上传恶意配置或程序代码至目标设备,备份设备内容,以及变更设备参数。
因此,doe、nsa、fbi与cisa督促重大基础设施企业,特别是能源领域的组织,应导入它们所提供的检测及缓解建议,以侦测潜在的apt活动并强化其ics/scada设备,包括将ics/scada网络与企业网络及公开网络隔离,对远程访问采用双因素认证,定期更新ics/scada所有密码,维护良好的脱机备份,限制ics/scada所连接的工作站数量,激活安全防护机制,监控系统运行,以及制定网络事件回应计划等。