过去一周,业界对SolarWinds黑客攻击的关注主要集中在美国联邦政府部门。然而,根据工业控制系统安全公司Dragos的最新报告,SolarWinds恶意软件已经在电气、石油和制造业中的十多家关键基础设施公司也在运行SolarWinds软件。Dragos首席执行官RobLee说,除了关键基础设施公司之外,SolarWinds软件还感染了为这些公司服务的三个设备制造商。强大的“双供应链攻击”黑客在SolarWindsOrion中植入木马后门的做法本身就是一种软件供应链攻击。这种攻击的威力之大,可以“点对点”地波及数以万计的政府部门和企业。美国针对关键基础设施OEM厂商的攻击属于工业供应链攻击,可以针对OEM供应商(关键基础设施)的所有客户。这种软件供应链和工业供应链叠加的“双供应链攻击”,使得SolarWinds恶意软件成为迄今为止美国关键基础设施面临的最严重的网络安全危机。关键基础设施的服务公司在业内被称为原始设备制造商(OEM)。他们通常可以远程访问客户网络的关键部分,并享有更改网络配置、安装新软件甚至控制关键操作的特权。这意味着入侵OEM设备供应商的黑客可能会通过访问帐户凭证来控制关键客户流程。“设备制造商可以(双向)访问客户网络,通常用于控制敏感设备,如涡轮机,这些设备可以被(黑客)用于破坏,”Lee说。“然而,仅仅因为黑客拥有访问权限并不意味着他知道该做什么或如何做。这并不意味着他们可以关闭开关。在[获得访问权限]之后,黑客必须做更多的事情如果他想造成伤害。事情。”然而,黑客攻击一家OEM设备制造商确实会放大基础设施的潜在风险。“这尤其令人担忧......妥协一家OEM设备制造商可能会为黑客打开大门进入数千个组织,”前关键基础设施威胁Lee说。美国国家安全局情报分析师。“例如,两个被入侵的OEM设备制造商可以访问全球数百个工业控制系统网络。在某些情况下,Lee指出,OEM设备制造商不仅可以访问客户的网络,而且实际上还通过SolarWinds软件直接感染了客户。因为这些设备制造商不仅在自己的网络上使用了SolarWinds,而且还安装在客户网络上,对工控系统网络进行管理和监控,很多都是在他们不知情的情况下。SolarWinds在三月份被攻破,软件更新被木马化,攻击者能够访问下载它们的任何用户的网络。美国政府官员,如国务卿蓬佩奥,已将入侵与俄罗斯联系起来。网络安全公司FireEye的安全研究人员将木马后门命名为SUNBURST。FireEyeCEOKevinMandia(根据KevinMandia的说法,攻击者只获得了受后门感染的数千个实体中的大约50个。Lee表示,关键基础设施区域的感染不仅发生在公司的IT网络上,有时也发生在管理关键功能。但是,目前没有证据表明黑客使用了SolarWinds软件中的后门来访问15家受感染的电力、石油、天然气和制造公司。但Lee指出,如果攻击者确实访问和渗透工业控制系统网络也很难被发现,因为关键基础设施实体通常不会对其控制系统网络进行大量记录和监控。“在这些ICS网络中,大多数组织没有(足够的)数据和可见性真正寻找漏洞,”李说。“所以他们可能能够确定他们是否受到损害,但是......很少有受害企业有网络logs,他们可以用它来确定是否有后续活动[在他们的网络中]。Lee进一步表示,所有受感染的企业“都承担了威胁,并正在进行必要的威胁搜寻”。判断是否受到威胁的恶意行为。”这是一个深入地下、难以根除的危险对手。“如果黑客利用被攻破的OEM设备制造商凭证和特权访问进入,可能更难被客户发现黑客的活动,因为许多流量和活动看起来是合法的。ItisreportedthatDragoshasnotifiedthethreeInfectedOEMequipmentmanufacturers,aswellasconcernedgovernmentofficialsandthenewadministrationofPresident-electJoeBiden.美国国土安全部网络安全和基础设施安全局(CISA)上周发布的警报指出,美国关键基础设施实体面临SolarWinds木马化软件的风险,但没有具体说明哪些行业受到影响或包括关键基础设施OEM设备供应商。美国电网上演“乌克兰大停电”?这不是工业控制系统OEM设备制造商第一次遭到黑客攻击。2012年,中国黑客入侵了一家名为Telvent的OEM设备制造商,窃取了工程图纸并访问了用于对工业控制系统进行编程的文件。Telvent是总部位于西班牙的SchneiderElectric的一个子公司,其软件用于美国和加拿大的石油和天然气管道网络以及一些水控制系统。当时,该缺陷引起了人们的担忧,即黑客可能会在软件中嵌入恶意代码以感染客户的控制系统。“当你看工业网络时,很多人仍然认为它们是高度分段的(segmented),但这只是意味着公司企业网络的细粒度分段,”Lee说。企业网络是分段和隔离的,但广泛连接到OEM设备制造商和相关网络维护等连接设备。”安全界调查人员表示,目前没有足够的证据可以将SolarWinds供应链攻击归因于特定的hackinggrouporcountry,butmultipleU.S.governmentofficials,includingPresident-electJoeBidenandSecretaryofStateMikePompeo,haveattributedtheoperationtoRussia,thoughtheyhavenotidentifiedwhatledtoitaconclusion."Withsomanyofficialsinthe“政府[将这些归因于俄罗斯],显然,这不可能是毫无根据的指控,”负责监督美国国家网络安全计划的前战略与国际研究中心官员詹姆斯刘易斯说。黑客在网络上留下的痕迹是正在研究中,但这可能不是最好的归因方法,政府正在使用其他方法进行归因和归因。所以,即使网络安全专业取证还没有找到证据,也不代表政府情报界没有全貌。”上周一,俄罗斯政府发言人德米特里佩斯科夫公开否认对SolarWinds供应链攻击事件负责。然后,在周六的两条推文中,特朗普淡化了太阳风袭击的严重性,并将怀疑从俄罗斯转移到了中国。据美联社报道,白宫本应在上周五发表声明,正式宣布俄罗斯是这次袭击的主谋,但在最后一刻撤回了声明。SolarWinds黑客攻击的范围仍然未知,但迄今为止报告的组织包括:美国国土安全部、商务部和财政部;至少两个国家实验室;联邦能源监管委员会;以及美国国家核安全局储备的国家核武器的维护;微软、思科和英特尔等科技巨头也受到感染。此外,政府机构的许多入侵并不仅限于SolarWinds恶意软件感染。参议员罗恩·怀登(RonWyden)上周透露,黑客能够阅读并窃取一些财政部高级官员的电子邮件。SolarWinds供应链攻击不是普通的间谍活动。黑客入侵关键基础设施构成了更大的威胁。俄罗斯恰好是少数(如果不是唯一)具有破坏关键基础设施能力的国家之一。2015年冬季,俄罗斯黑客入侵了乌克兰的几家配电厂,将230,000名客户的电力中断了6小时。此外,2016年,俄罗斯黑客组织又在乌克兰进行了一次攻击,切断了部分客户的电源一个小时,还攻击了管理乌克兰国家铁路系统的国家铁路运输局。这一系列行动导致专家得出结论,俄罗斯人正在利用乌克兰作为试验台,以完善可用于美国等其他国家的黑客技术。上周日,参议员罗姆尼在美国有线电视新闻网的“国情咨文”节目中指出,“俄罗斯正在做的是建立打击美国电力、能源、水和通信等关键基础设施的能力。”他继续说:“这与战时的袭击没有什么不同,所以非常危险。这是对我们主权的无情侮辱,必须做出非常强烈的回应。”美国国土安全部前副部长SuzanneSpalding认为,SolarWinds供应链攻击黑客的意图仍然不明,即使他们攻破了电力和油气行业的网络,也不意味着他们有能力造成损害。“但即便如此,黑客仍然可以获得大量信息......以帮助计划真正具有破坏性的攻击,”她说。由于SolarWinds活动中的黑客也违反了FERC,因此可以向他们提供有关美国电网的信息。有关其中的漏洞和安全措施的信息,以便他们可以在未来的攻击中加以利用。Spalding指出了2015年俄罗斯对乌克兰配电厂的黑客攻击:黑客对该工厂的网络进行了至少六个月的侦查,以了解设备及其工作原理,然后在当年12月造成大停电。李警告说:“虽然伊朗等其他国家的黑客组织也侵入了美国电网,但这次不同。如果伊朗侵入关键基础设施的工控系统,只能说有破坏的可能,但你不确定。”黑客是否有足够的(ICS专业知识)知识和能力。但是,如果俄罗斯是SolarWinds攻击的幕后黑手,那么鉴于俄罗斯已经展示了这种破坏性能力。所以我们的问题将不再是是否,而是会,还是,什么时候?”【本文为专栏作家“安全牛”原创文章,转载请通过安全牛获得授权(微信公众号id:gooann-sectv)供转载】点此阅读更多本作者好文
