過去一周，業(yè)界對(duì)SolarWinds黑客攻擊的關(guān)注主要集中在美國聯(lián)邦政府部門，但是根據(jù)工控系統(tǒng)安全公司Dragos的最新報(bào)告，SolarWinds惡意軟件還感染了電氣、石油和制造行業(yè)的十多個(gè)關(guān)鍵基礎(chǔ)設(shè)施公司，這些公司也都在運(yùn)行SolarWinds公司的軟件。

Dragos公司首席執(zhí)行官羅伯·李說，除了關(guān)鍵的基礎(chǔ)設(shè)施公司之外，SolarWinds軟件還感染了為這些公司提供服務(wù)的三家設(shè)備制造商。

[[360447]]

威力巨大的“雙供應(yīng)鏈攻擊”

黑客在SolarWinds Orion植入木馬化后門的做法本身屬于軟件供應(yīng)鏈攻擊，這種攻擊威力巨大，可以“以點(diǎn)帶面”，輻射數(shù)以萬計(jì)的政府部門和企業(yè)。而針對(duì)美國關(guān)鍵基礎(chǔ)設(shè)施OEM制造商的攻擊，則屬于產(chǎn)業(yè)供應(yīng)鏈攻擊，能夠針對(duì)性地輻射到OEM供應(yīng)商的所有客戶(關(guān)鍵基礎(chǔ)設(shè)施)。這種軟件供應(yīng)鏈與產(chǎn)業(yè)供應(yīng)鏈疊加的“雙供應(yīng)鏈攻擊”，使得SolarWinds惡意軟件成為美國關(guān)鍵基礎(chǔ)設(shè)施迄今面臨的最嚴(yán)峻的網(wǎng)絡(luò)安全危機(jī)。

關(guān)鍵基礎(chǔ)設(shè)施的服務(wù)公司在業(yè)內(nèi)被稱為原始設(shè)備制造商(OEM)。他們往往可以遠(yuǎn)程訪問客戶網(wǎng)絡(luò)的關(guān)鍵部分，擁有能夠更改網(wǎng)絡(luò)配置、安裝新軟件甚至控制關(guān)鍵操作的特權(quán)。這意味著入侵OEM設(shè)備供應(yīng)商的黑客可能會(huì)利用獲取帶賬戶憑據(jù)來控制關(guān)鍵的客戶流程。

“設(shè)備制造商對(duì)客戶網(wǎng)絡(luò)帶(雙向)訪問，通常用于控制渦輪機(jī)之類的敏感設(shè)備，可(被黑客)用于破壞行動(dòng)，”羅伯·李說道。“但是，黑客僅僅獲取訪問權(quán)限并不意味著他知道該做什么或如何做。這并不意味著他們可以關(guān)掉電閘。(獲取訪問權(quán))之后，黑客如果想實(shí)施破壞還需要做更多的事情。”

但是，入侵OEM設(shè)備制造商確實(shí)會(huì)放大基礎(chǔ)架構(gòu)的潛在風(fēng)險(xiǎn)。

國家安全局前關(guān)鍵基礎(chǔ)設(shè)施威脅情報(bào)分析師Lee說：“尤其令人擔(dān)憂的是…入侵一個(gè)OEM設(shè)備制造商，可能會(huì)為黑客打開進(jìn)入數(shù)千個(gè)組織的大門。”“例如，受到攻擊的兩家OEM設(shè)備制造商可以訪問全球數(shù)百個(gè)工控系統(tǒng)網(wǎng)絡(luò)。”

Lee指出，在某些情況下，OEM設(shè)備制造商不僅有訪問客戶網(wǎng)絡(luò)的權(quán)限，實(shí)際上還直接通過SolarWinds軟件感染了客戶。因?yàn)檫@些設(shè)備制造商不僅在自己的網(wǎng)絡(luò)上使用SolarWinds，還將其安裝在客戶網(wǎng)絡(luò)上以管理和監(jiān)視工控系統(tǒng)網(wǎng)絡(luò)，很多客戶甚至對(duì)此毫不知情。

SolarWinds在3月遭到入侵，軟件更新被木馬化，攻擊者能夠訪問任何下載這些更新的用戶的網(wǎng)絡(luò)。美國政府官員(例如國務(wù)卿蓬佩奧)已將這次入侵與俄羅斯聯(lián)系起來。

網(wǎng)絡(luò)安全公司FireEye的安全研究人員將這個(gè)木馬后門命名為SUNBURST(日爆)。

FireEye首席執(zhí)行官凱文·曼迪亞(Kevin Mandia)表示，攻擊者只進(jìn)入了被后門感染的數(shù)千個(gè)實(shí)體中的約50個(gè)。

Lee說，關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的感染不僅發(fā)生在公司的IT網(wǎng)絡(luò)上，而且有時(shí)還發(fā)生在管理關(guān)鍵功能的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)上。

但是，目前沒有證據(jù)表明黑客利用SolarWinds軟件中的后門來訪問被感染了的15個(gè)電力、石油、天然氣和制造企業(yè)。但是Lee指出，如果攻擊者確實(shí)訪問并滲透進(jìn)入了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)，人們也很難發(fā)現(xiàn)，因?yàn)殛P(guān)鍵基礎(chǔ)架構(gòu)實(shí)體通常不會(huì)對(duì)其控制系統(tǒng)網(wǎng)絡(luò)進(jìn)行大量的日志記錄和監(jiān)視。

“在這些ICS網(wǎng)絡(luò)中，大多數(shù)組織都沒有(足夠的)數(shù)據(jù)和可見性來真正尋找漏洞，”Lee說。“因此，他們可能會(huì)確定自己是否受到威脅，但是…幾乎沒有受害企業(yè)有網(wǎng)絡(luò)日志可用來確定(他們的網(wǎng)絡(luò)中)是否存在后續(xù)攻擊活動(dòng)。”

Lee進(jìn)一步說，所有受感染的企業(yè)“都已假設(shè)受到威脅，并在進(jìn)行必要的威脅搜尋工作”。但是，如果沒有日志記錄，很難跟蹤黑客在網(wǎng)絡(luò)中的活動(dòng)，企業(yè)只能通過一些所謂的惡意行為來判斷是否受到威脅。“這是一個(gè)深入地下，難以根除的危險(xiǎn)對(duì)手。”

如果黑客使用受感染的OEM設(shè)備制造商的憑據(jù)和特權(quán)訪問進(jìn)入，則客戶想要發(fā)現(xiàn)黑客的活動(dòng)可能更加困難，因?yàn)楹芏嗔髁亢突顒?dòng)看起來是合法的。

據(jù)悉，Dragos公司已經(jīng)通知三個(gè)被感染的OEM設(shè)備制造商，以及有關(guān)政府官員和當(dāng)選總統(tǒng)喬·拜登的新政府。美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)上周發(fā)布的警報(bào)指出，美國的關(guān)鍵基礎(chǔ)設(shè)施實(shí)體受到SolarWinds木馬化軟件的威脅，但沒有具體指出受影響的行業(yè)，也沒有指出包括關(guān)鍵基礎(chǔ)設(shè)施的OEM設(shè)備供應(yīng)商。

美國電網(wǎng)上演“烏克蘭大停電”?

這并不是工業(yè)控制系統(tǒng)OEM設(shè)備制造商首次遭到黑客入侵。2012年，某國家黑客入侵了一家名為Telvent的OEM設(shè)備制造商，竊取了工程圖并訪問了用于對(duì)工業(yè)控制系統(tǒng)進(jìn)行編程的文件。

Telvent是總部位于西班牙的施耐德電氣(Schneider Electric)的一個(gè)部門，其軟件已被用于美國和加拿大的石油和天然氣管道以及一些水控制系統(tǒng)網(wǎng)絡(luò)。當(dāng)時(shí)，該漏洞引起了人們的關(guān)注，即黑客可能已在軟件中嵌入了惡意代碼以感染客戶控制系統(tǒng)。

“當(dāng)您查看工業(yè)網(wǎng)絡(luò)時(shí)，許多人仍然認(rèn)為它們是高度細(xì)分(段)的，但這僅意味著對(duì)公司的企業(yè)網(wǎng)絡(luò)進(jìn)行了細(xì)粒度分段，”Lee說道：“盡管(工控系統(tǒng))與企業(yè)網(wǎng)絡(luò)進(jìn)行了分段隔離，但它們與OEM設(shè)備制造商以及與相關(guān)的網(wǎng)絡(luò)維護(hù)、其他相連設(shè)備之間卻存在廣泛的連接。”

安全社區(qū)的調(diào)查人員表示，目前還沒有足夠的證據(jù)將SolarWinds供應(yīng)鏈攻擊歸因于一個(gè)特定的黑客組織或國家，但多位美國政府官員(包括當(dāng)選總統(tǒng)拜登和國務(wù)卿蓬佩奧)將這次行動(dòng)歸因于俄羅斯，盡管他們并未指出是什么導(dǎo)致了這一結(jié)論。

負(fù)責(zé)監(jiān)管美國國家網(wǎng)絡(luò)安全計(jì)劃的前戰(zhàn)略和國際研究中心官員詹姆斯·劉易斯指出：“政府中有這么多官員(將這些歸因于俄羅斯)，顯然，這不可能是毫無依據(jù)的指控。取證人員正在研究黑客在網(wǎng)絡(luò)上留下的痕跡，但這可能不是最佳的溯源方法，政府也在使用其他方法進(jìn)行歸因和溯源。因此，即便網(wǎng)絡(luò)安全專業(yè)取證人員尚未發(fā)現(xiàn)證據(jù)，并不意味著政府情報(bào)部門沒有完整的圖片。”

上周一，俄羅斯政府發(fā)言人德米特里·佩斯科夫(Dmitry Peskov)公開否認(rèn)對(duì)SolarWinds供應(yīng)鏈攻擊行動(dòng)負(fù)責(zé)。隨后在上周六的兩條推文中，特朗普有意淡化了SolarWinds襲擊的嚴(yán)重性，并調(diào)轉(zhuǎn)矛頭將懷疑對(duì)象從俄羅斯轉(zhuǎn)移到了中國。據(jù)美聯(lián)社報(bào)道，原本白宮上周五準(zhǔn)備發(fā)布聲明正式宣布俄羅斯是攻擊的主使者，但在最后關(guān)頭被撤下。

目前，SolarWinds黑客攻擊的范圍仍是未知數(shù)，但到目前為止，已經(jīng)呈報(bào)遭受攻擊的組織包括：美國國土安全部、商務(wù)部和財(cái)政部;至少兩個(gè)國家實(shí)驗(yàn)室;聯(lián)邦能源管理委員會(huì);維護(hù)國家核武器庫存的美國國家核安全局;微軟、思科和英特爾等科技巨頭也被感染了。

此外，政府機(jī)構(gòu)的許多入侵行為不僅限于SolarWinds惡意軟件感染。參議員羅恩·懷登(Ron Wyden)上周透露，黑客能夠閱讀和竊取美國財(cái)政部一些高級(jí)官員的電子郵件。

SolarWinds供應(yīng)鏈攻擊不是普通的間諜活動(dòng)，黑客對(duì)關(guān)鍵基礎(chǔ)設(shè)施的入侵可制造更大的威脅。而俄羅斯，恰恰是為數(shù)不多的(如果不是唯一的)，具備驗(yàn)證過的破壞關(guān)鍵基礎(chǔ)設(shè)施的能力的國家。

2015年，俄羅斯黑客在冬季入侵了幾家烏克蘭配電廠，切斷了23萬名客戶的電源長達(dá)6個(gè)小時(shí)之久。此外，2016年俄羅斯黑客組織在烏克蘭再次實(shí)施攻擊，切斷部分客戶供電長達(dá)一個(gè)小時(shí)，還襲擊了管理烏克蘭國家鐵路系統(tǒng)的國家鐵路運(yùn)輸管理局。這一系列行動(dòng)讓專家得出一個(gè)結(jié)論：那就是俄羅斯人正在用烏克蘭作為試驗(yàn)床，以完善可以在其他國家(例如美國)使用的黑客技術(shù)。

上周日，在CNN的“國情咨文”節(jié)目中，參議員羅姆尼指出：“俄羅斯所做的就是建立打擊美國的電力、能源、水利、通信等關(guān)鍵基礎(chǔ)設(shè)施的能力。”他繼續(xù)說：“這與戰(zhàn)爭(zhēng)時(shí)期的攻擊無異，因此非常危險(xiǎn)，這是對(duì)我們主權(quán)的無情羞辱，并且必須得到非常強(qiáng)烈的回應(yīng)。”

國土安全部的前副部長蘇珊娜·斯波丁則認(rèn)為，SolarWinds供應(yīng)鏈攻擊黑客的意圖仍然未知，即使他們?nèi)肭至穗娏?、石油和天然氣行業(yè)的網(wǎng)絡(luò)，但這并不意味著他們具備造成破壞的能力。

她說：“但即便如此，黑客仍然可以獲得很多信息…有助于規(guī)劃一次真正的破壞性攻擊。”由于SolarWinds活動(dòng)中的黑客也入侵了美國聯(lián)邦能源監(jiān)管委員會(huì)，因此可以向他們提供有關(guān)美國電網(wǎng)中的漏洞和安全措施的信息，以便他們以后可以利用它們進(jìn)行攻擊。斯波丁提及了2015年俄羅斯對(duì)烏克蘭配電廠的黑客攻擊：黑客在工廠網(wǎng)絡(luò)中至少進(jìn)行了六個(gè)月的偵察，以了解設(shè)備及其工作原理，然后在當(dāng)年12月制造了大斷電。

Lee則警告說：“雖然其他國家黑客組織例如伊朗也曾入侵美國電網(wǎng)，但這是不同的。如果伊朗入侵關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)，只能說它具備破壞的可能性，但你不確定黑客是否具備足夠的(工控系統(tǒng)專業(yè))知識(shí)和能力。但是，如果俄羅斯是SolarWinds攻擊的幕后黑手，考慮到俄羅斯已經(jīng)展示了這種破壞能力。因此，我們的問題將不再是能否，而是會(huì)否，亦或，何時(shí)?”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文