US-CERT：俄羅斯黑客入侵美國關鍵基礎設施細節

美國計算機應急響應小組(US-CERT)報告詳細描述了可能是來自俄羅斯攻擊者的是如何策劃並實施對能源設施的長期網路攻擊的，並提供了防止此類事件再次發生的可行措施。

攻擊首先從入侵合作夥伴開始，然後利用合作夥伴的IT系統發起對最終目標發電站的攻擊。

報告稱：

「

國土安全部(DHS)和聯邦調查局(FBI)將這些攻擊活動定性為俄羅斯政府黑客的多階段入侵行動，他們在小型商業設施網路中部署惡意軟體，進行魚叉式網路釣魚攻擊，最終獲取對能源行業網路的遠程訪問權。

US-CERT宣稱，一旦黑客獲取到訪問權，俄羅斯網軍就會進行網路偵察，在網路中橫向移動，收集工業控制系統(ICS)相關的信息。

報告對黑客的行動步驟進行了詳細描述，包括具體的方法、其伺服器和存儲庫的IP地址，以及完整的攻擊指標(IOC)信息。

國家支持的黑客攻擊大多以防禦欠佳的承包商為切入點，進而滲透進最終目標的網路中。俄羅斯黑客也不例外。他們以合法賬戶發出網路釣魚郵件，在水坑攻擊域名上載入惡意軟體和憑證收集漏洞利用程序，並在有可能泄露目標重要信息的公開網站上仔細挖掘。

比如說，某個案例中，目標公司的一名員工有張工作照被放到了公司人力資源頁面上。仔細查看這張照片的背景就能看出該公司所用的工控系統是哪種，而且背景中的計算機屏幕也揭示了控制軟體的名稱和版本信息。

公開的電子郵件地址和高管成員姓名等信息也會被黑客用於創建可信網路釣魚郵件。

一旦進入合作夥伴的系統，黑客就會將之布置成對最終目標發起攻擊的集結待命區。他們會在其中開闢軟體暫存地，創建虛假賬戶，並布署監測程序。

染指最終目標之後，黑客會先進行一番偵察監視，收集在用軟體、憑證和控制過程的信息。這些信息通過SMB協議滲漏到遠程伺服器上，然後，黑客再執行一系列動作掩蓋其蹤跡。

不幸的是，侵入US-CERT描述的控制系統並沒有人們想像中的那麼難。CyberX工業網路安全副總裁菲爾·內瑞表示：「這些網路從設計上就不安全，完全依賴物理隔離之類的老舊觀念。但其實很多物理隔離網路中都有通向互聯網的連接。」

安全問題絕大部分是源於老舊設備和廠商不再支持的操作系統。現有老舊系統能夠可靠地執行所需功能，這就導致很多企業不願意升級或替換掉這些。其結果是：企業運行著一旦操作系統升級就無法正常工作的應用程序，而且不願打上補丁。但是，技術發展日新月異的時代，周圍環境都已經發生翻天覆地的變化了，再沿用這些老舊設備和系統無異於裸奔，絲毫不受保護。

針對這一點，一個可行的建議是：學習金融行業在安全方面的做法。如果未能保證安全，華爾街早垮了。

ICS網路可以採取持續監視網路活動之類的操作，包括諸如創建用戶、修改許可權或註冊表之類的工作站動作都可以列入監視範圍。這些動作都是黑客常規操作。

長期解決方案則可以參考在年度審計中納入安全準備度的評估，並將結果向股東宣布。另外，保費也應與安全準備度掛鉤。這種觸及公司底線的操作可以有效激勵公司企業更嚴肅地對待安全。

而更直接的做法，US-CERT已經在報告中列出了：

禁用所有SMB協議，以及 TCP 139和445埠，還有UDP137埠；

在邊界網關設備上禁用基於Web的分散式編輯和版本控制(WebDAV)協議；

監視VPN異常行為；

分隔關鍵網路/系統和業務系統；

僅使用帶高級日誌的PowerShell 5；

禁用對管理員賬戶的外部訪問；

實現雙因子身份驗證。

US-CERT還奉上了一套完整的YARA規則配合該開源軟體模式匹配工具使用，並給出了用YARA進行惡意軟體檢測的指南。

只要掌握著有價值的資產，就得假定已經被黑客盯上，假定他們已經在你的系統里了。問題是：怎麼把他們「請」出去？

聘請專業的工業安全公司來找出黑客所為，清除黑客及其所留後門，不失為明智的做法。

而要確保新系統不會遭遇老問題，則可以通過指定可以更新的系統和不特定於某種操作系統的軟體來達成。

https://www.us-cert.gov/ncas/alerts/TA18-074A

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！