在2022年，針對(duì)工業(yè)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊越來(lái)越復(fù)雜，數(shù)量也越來(lái)越多。研究發(fā)現(xiàn)，采用一個(gè)模塊化惡意軟件工具包，就能夠針對(duì)不同行業(yè)垂直領(lǐng)域的數(shù)萬(wàn)個(gè)工業(yè)控制系統(tǒng)(ICS)進(jìn)行攻擊。與此同時(shí)，Dragos公司發(fā)布的事件響應(yīng)報(bào)告表明，80%受影響的環(huán)境缺乏對(duì)工業(yè)控制系統(tǒng)(ICS)流量的可見(jiàn)性，一半的環(huán)境存在網(wǎng)絡(luò)分段問(wèn)題，其OT網(wǎng)絡(luò)的外部連接不受控制。

Dragos公司的研究人員在一份最新發(fā)布的年度報(bào)告中說(shuō):“Dragos公司追蹤的許多威脅在未來(lái)可能會(huì)演變出顛覆性和破壞性的能力，因?yàn)榫W(wǎng)絡(luò)威脅行為者通常會(huì)進(jìn)行廣泛的研究和開(kāi)發(fā)，并隨著時(shí)間的推移實(shí)施他們的程序和活動(dòng)，這項(xiàng)研發(fā)為他們未來(lái)的活動(dòng)提供了信息，并最終提高了他們的破壞能力?！?/p>

跟蹤活躍的ICS威脅團(tuán)伙

自從2020年以來(lái)，Dragos公司一直在跟蹤20個(gè)針對(duì)工業(yè)基礎(chǔ)設(shè)施攻擊的威脅組織和團(tuán)伙。在這些團(tuán)伙中，有8個(gè)在去年比較活躍，其中包括被Dragos公司命名為Chernovite和Bentonite的新團(tuán)伙。

在這兩個(gè)團(tuán)伙中，Chernovite表現(xiàn)比較突出，展示了ICS網(wǎng)絡(luò)殺傷鏈第一階段和第二階段的各個(gè)方面：第一階段是初始入侵和偵察活動(dòng)，允許網(wǎng)絡(luò)攻擊者收集有關(guān)運(yùn)營(yíng)技術(shù)(OT)環(huán)境的信息，幫助他們開(kāi)發(fā)針對(duì)特定ICS實(shí)施的能力。第二階段是將第一階段收集的信息實(shí)現(xiàn)武器化，并發(fā)展實(shí)際影響ICS的能力。

Chernovite是一個(gè)高度復(fù)雜的惡意軟件平臺(tái)的幕后黑手，該平臺(tái)能夠攻擊Dragos稱之為Piperdream的工業(yè)控制系統(tǒng)，網(wǎng)絡(luò)安全服務(wù)商Mandiant公司將其稱為Incontroller。該惡意軟件在2022年初被發(fā)現(xiàn)，據(jù)悉是由政府支持開(kāi)發(fā)的。Dragos公司沒(méi)有進(jìn)行攻擊歸因評(píng)估，Mandiant公司指出，這符合某國(guó)對(duì)攻擊ICS的興趣，但其證據(jù)是間接的。

Dragos公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Robert M.Lee在新聞發(fā)布會(huì)上表示，Piperdream或Incontroller在被“使用”之前就被發(fā)現(xiàn)了，這意味著雖然攻擊者沒(méi)有發(fā)動(dòng)攻擊，但已經(jīng)非常接近。在他看來(lái)，惡意軟件沒(méi)有得到應(yīng)有的關(guān)注，可能是因?yàn)樵谠斐蓳p害之前就被發(fā)現(xiàn)了，但它具有非常有效的破壞性和破壞能力，可能是有史以來(lái)最接近讓美國(guó)和歐洲基礎(chǔ)設(shè)施中斷運(yùn)營(yíng)的攻擊。

他說(shuō),“我不想炒作任何事情，因?yàn)椴](méi)有基礎(chǔ)設(shè)施遭到更大的攻擊，所以有些事情沒(méi)有發(fā)生，但我認(rèn)為人們不明白它離發(fā)生有多近。”

據(jù)悉，Chernovite團(tuán)伙的目標(biāo)是十幾個(gè)關(guān)鍵的電力和液體天然氣站，但惡意軟件的攻擊絕不局限于這些行業(yè)。事實(shí)上，Pipedream是有史以來(lái)第一個(gè)利用一些最廣泛的ICS協(xié)議中的原生功能的ICS惡意軟件，包括施耐德電氣、歐姆龍、CODESYS PLC以及支持OPC統(tǒng)一架構(gòu)(OPC UA)標(biāo)準(zhǔn)的任何PLC所使用的協(xié)議。

換句話說(shuō)，任何基礎(chǔ)設(shè)施運(yùn)營(yíng)商可以通過(guò)這些協(xié)議做的事情，惡意軟件都可以做。Lee表示，在某種程度上，它比任何特定供應(yīng)商的工程工作站軟件更令人印象深刻，因?yàn)樵撥浖荒芘c特定供應(yīng)商的PLC一起工作，但Pipedream可以與所有這些軟件一起工作。

Lee說(shuō)，“這令人印象深刻，所以，它最初的設(shè)計(jì)目標(biāo)是15種特定類型的設(shè)備，但目前它可以在社區(qū)中部署的數(shù)千個(gè)不同的控制器和設(shè)備、數(shù)百個(gè)不同的供應(yīng)商以及幾乎所有行業(yè)中運(yùn)行?！?/p>

最糟糕的是，這些漏洞沒(méi)有可以修補(bǔ)的補(bǔ)丁，因?yàn)樗鼛缀醵际窃δ?。Dragos表示將會(huì)看到這種惡意軟件再次部署，并且沒(méi)有簡(jiǎn)單的解決辦法，那些只關(guān)注預(yù)防而不做檢測(cè)和應(yīng)對(duì)的企業(yè)，幾乎無(wú)法對(duì)抗這種攻擊。

Lee說(shuō)，“全球大約5%的基礎(chǔ)設(shè)施正在受到監(jiān)控。我們所有的努力都是為了防止網(wǎng)絡(luò)攻擊，我想說(shuō)的是，雖然受到監(jiān)控的基礎(chǔ)設(shè)施比例較小，我們?nèi)匀话l(fā)現(xiàn)了一些相當(dāng)可怕的事情?！?/p>

Bentonite團(tuán)伙在2022年被發(fā)現(xiàn)，目前該團(tuán)伙只顯示了第一階段的能力，其主要目標(biāo)是制造業(yè)和石油天然氣行業(yè)，但它選擇的受害者似乎是隨機(jī)的，利用他們發(fā)現(xiàn)的任何對(duì)外暴露的遠(yuǎn)程訪問(wèn)連接或利用互聯(lián)網(wǎng)資產(chǎn)。該團(tuán)伙植入的惡意軟件并不引人注目。然而Dragos公司警告說(shuō)，該團(tuán)伙很狡猾，其收集的信息將允許它在未來(lái)進(jìn)入OT網(wǎng)絡(luò)，例如工業(yè)設(shè)備圖或物理過(guò)程的數(shù)據(jù)。

另一個(gè)在2022年仍然活躍的網(wǎng)絡(luò)威脅團(tuán)伙是Kostovite，這是一個(gè)最初在2021年發(fā)現(xiàn)的群體，已經(jīng)證明了進(jìn)行橫向移動(dòng)并到達(dá)OT和ICS網(wǎng)絡(luò)的能力。它通常利用企業(yè)外圍環(huán)境，并可以使用零日漏洞。有證據(jù)表明，它的目標(biāo)可能與APT5有一些重疊。

Kamacite和Electrum是兩個(gè)繼續(xù)實(shí)施攻擊活動(dòng)的ICS威脅團(tuán)伙，并與Sandworm有關(guān)，Sandworm被認(rèn)為是某國(guó)軍事情報(bào)機(jī)構(gòu)(GRU)的一個(gè)單位。Sandword使用NotPetya惡意軟件進(jìn)行了破壞性攻擊，使用BlackEngery和Industrierr惡意軟件程序?qū)蹩颂m電網(wǎng)進(jìn)行了多次攻擊。Kamacite通過(guò)一個(gè)名為“Cyclops Blink a”的植入物獲得對(duì)網(wǎng)絡(luò)的初始訪問(wèn)權(quán)，然后將該訪問(wèn)權(quán)傳遞給Electrum，后者通常負(fù)責(zé)造成破壞性影響。Kamacite攻擊的目標(biāo)包括歐洲、烏克蘭和美國(guó)的基礎(chǔ)設(shè)施。

Xenomite是另一個(gè)仍然活躍的ICS威脅團(tuán)伙，主要專注于針對(duì)中東和美國(guó)的電力、石油和天然氣公司進(jìn)行破壞，其目標(biāo)似乎經(jīng)過(guò)精心挑選，并且它們之間存在聯(lián)系。這表明，該集團(tuán)從非公開(kāi)來(lái)源對(duì)石油和天然氣行業(yè)有細(xì)致入微的了解，從而能夠確定壓力點(diǎn)。

Xenomite是開(kāi)發(fā)Triton軟件的團(tuán)伙，Triton是一個(gè)惡意軟件框架，2017年使沙特阿拉伯的一家公司正在使用的Trisis儀器安全系統(tǒng)(SIS)失效。這使得Xenomite成為有動(dòng)機(jī)和能力摧毀關(guān)鍵基礎(chǔ)設(shè)施的團(tuán)體之一。

Erythrite是ICS網(wǎng)絡(luò)殺傷鏈第一階段的威脅團(tuán)伙，該團(tuán)伙使用不太復(fù)雜的技術(shù)，例如搜索引擎優(yōu)化(SEO)中毒和自定義惡意軟件。該團(tuán)伙的重點(diǎn)是數(shù)據(jù)和證書(shū)盜竊，但其大規(guī)?；顒?dòng)，尤其是針對(duì)制造業(yè)的活動(dòng)令人擔(dān)憂。它的目標(biāo)包括約20%的財(cái)富500強(qiáng)公司，大部分位于美國(guó)和加拿大。Dragos說(shuō)，對(duì)于IT和OT之間網(wǎng)絡(luò)分段較差的企業(yè)來(lái)說(shuō)，該團(tuán)伙是一個(gè)特別大的威脅。

最后，Wassonite是一個(gè)處在第一階段的團(tuán)伙，專注于攻擊來(lái)自南亞和東亞的核能、電力、石油和天然氣、先進(jìn)制造業(yè)、制藥和航空航天行業(yè)。該團(tuán)伙使用DTrack和AppleSeed遠(yuǎn)程訪問(wèn)木馬，這些木馬通過(guò)為特定行業(yè)和組織定制的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)誘餌分發(fā)。

除了這些企業(yè)的有針對(duì)性的威脅之外，Dragos還指出，去年針對(duì)工業(yè)組織的勒索軟件攻擊增加了87%，其中制造業(yè)是受影響最大的行業(yè)。LockBit的攻擊次數(shù)最多，其次是現(xiàn)在已經(jīng)解散的Conti ransomware、BlackBasta和Hive。

ICS漏洞和盲點(diǎn)

與2021年相比，專門針對(duì)ICS相關(guān)硬件和軟件的漏洞數(shù)量增加了27%，但這并不能反映全局，因?yàn)椴⒎撬新┒磾?shù)量增長(zhǎng)都是相同的，尤其是在ICS領(lǐng)域。

因此，Dragos公司對(duì)這些漏洞進(jìn)行了更深入的風(fēng)險(xiǎn)評(píng)估，發(fā)現(xiàn)15%的漏洞位于企業(yè)網(wǎng)絡(luò)的設(shè)備中，85%位于ICS網(wǎng)絡(luò)深處。此外，一半漏洞沒(méi)有導(dǎo)致能見(jiàn)度或控制力的喪失。更大的問(wèn)題是，在打補(bǔ)丁經(jīng)常涉及關(guān)閉運(yùn)營(yíng)和關(guān)鍵設(shè)備的行業(yè)，資產(chǎn)所有者嚴(yán)重依賴于緩解措施，而在提供補(bǔ)丁的70%的供應(yīng)商中，51%的供應(yīng)商表示沒(méi)有包含任何緩解措施。另有30%表示沒(méi)有補(bǔ)丁，16%表示沒(méi)有實(shí)際的緩解措施。

在34%的供應(yīng)商中，Dragos公司發(fā)現(xiàn)了錯(cuò)誤的數(shù)據(jù)，例如錯(cuò)誤的軟件編號(hào)、錯(cuò)誤的硬件型號(hào)、錯(cuò)誤的版本等等。該公司評(píng)估，在70%的情況下，嚴(yán)重程度評(píng)分應(yīng)該高于供應(yīng)商指定的評(píng)分，30%的情況下低于供應(yīng)商指定的評(píng)分。

好消息是，根據(jù)Dragos公司的風(fēng)險(xiǎn)評(píng)估，將漏洞分為立即修補(bǔ)、下一個(gè)周期修補(bǔ)和不應(yīng)該關(guān)注三種，只有2%屬于立即修補(bǔ)類別。另外95%的漏洞可以推遲到下一個(gè)周期修補(bǔ)，并通過(guò)網(wǎng)絡(luò)分段、監(jiān)控和多因素身份驗(yàn)證來(lái)緩解。3%的漏洞的作用或者被夸大，或者完全錯(cuò)誤，屬于最后一類。

根據(jù)該公司進(jìn)行的安全評(píng)估，最常見(jiàn)的問(wèn)題是ICS環(huán)境中缺乏可見(jiàn)性，80%的客戶的OT可見(jiàn)性有限。然而，2022年比前一年下降了6%，因此有所改善。一半的客戶存在網(wǎng)絡(luò)分段問(wèn)題，下降了27%。53%的客戶有未公開(kāi)或不受控制的OT網(wǎng)絡(luò)連接，與2021年相比下降了17%。整個(gè)行業(yè)的情況仍然不太好，而且有一個(gè)領(lǐng)域似乎正在變得更糟，那就是IT和OT之間缺乏用戶管理分離，54%的企業(yè)存在這種情況，與2021年相比增加了10%。

Lee說(shuō):“這是我們?cè)诖罅坷账鬈浖咐锌吹降氖虑橹唬账鬈浖⑴c者的目標(biāo)是IT網(wǎng)絡(luò)，通過(guò)Active Directory域控制器傳播勒索軟件，然后進(jìn)入運(yùn)營(yíng)網(wǎng)絡(luò)，即使它不是他們通過(guò)共享憑證的目標(biāo)?！?/p>

最令人擔(dān)憂的發(fā)現(xiàn)之一是，80%的被評(píng)估客戶仍然沒(méi)有對(duì)其ICS系統(tǒng)的可見(jiàn)性，80%的企業(yè)相對(duì)成熟，并接受Dragos等網(wǎng)絡(luò)安全服務(wù)商的服務(wù)。事實(shí)上，這個(gè)數(shù)字可能更高。

Lee說(shuō)，“如果企業(yè)不知道自己有什么，就不知道自己有多少資產(chǎn)，它們是如何連接的，誰(shuí)在連接它們，以及任何類型的檢測(cè)。企業(yè)永遠(yuǎn)不會(huì)得到根本原因分析，或了解哪里出了問(wèn)題，或能夠發(fā)現(xiàn)對(duì)手。平均而言，80%以上的企業(yè)根本無(wú)法做到這一點(diǎn)，當(dāng)談?wù)撽P(guān)鍵基礎(chǔ)設(shè)施和管道時(shí)，這顯然是一個(gè)令人擔(dān)憂的問(wèn)題?！?/p>