FBI怒懟俄羅斯黑客：別想動我們的關鍵基礎設施

近日，據外媒 securityaffairs 報道，俄羅斯的一個黑客組織被美國政府盯上了，這幫黑客也瞄上了美國的工控設施。DHS（美國國土安全部）和FBI（聯邦調查局）聯合發布了一項網路安全警報，主要目的就是警告俄羅斯黑客別對美國關鍵基礎設施動心思，再有動作我們可就不客氣了。

美國CERT（計算機安全應急響應組）指出，幾個來自俄羅斯的高級黑客組織正打算對美國的多項基礎設施進行APT攻擊，並且已經被他們發現，分別是Dragonfly（蜻蜓）, Crouching Yeti（蹲伏雪人）和Energetic Bea（精力充沛的熊）。

編號為 TA18-074A 的警報稱「這些網路活動正在針對美國重要的能源和其他基礎設施進行攻擊」。

美國計算機應急響應小組(US-CERT)報告詳細描述了疑似俄羅斯的攻擊者是如何策劃並實施對能源設施的長期網路攻擊的，並提供了防止此類事件再次發生的可行措施。

報告稱：

國土安全部(DHS)和聯邦調查局(FBI)將這些攻擊活動定性為俄羅斯政府黑客的多階段入侵行動，他們在小型商業設施網路中部署惡意軟體，進行魚叉式網路釣魚攻擊，最終獲取對能源行業網路的遠程訪問權。

US-CERT宣稱，一旦黑客獲取到訪問權，對方就會進行網路偵察，在網路中橫向移動，收集工業控制系統(ICS)相關的信息。

報告對黑客的行動步驟進行了詳細描述，包括具體的方法、其伺服器和存儲庫的IP地址，以及完整的攻擊指標(IOC)信息。

發起這輪攻擊的黑客以合法賬戶發出網路釣魚郵件，在水坑攻擊域名上載入惡意軟體和憑證收集漏洞利用程序，並在有可能泄露目標重要信息的公開網站上仔細挖掘。

一旦進入系統，黑客就會將之布置成對最終目標發起攻擊的集結待命區。他們會在其中開闢軟體暫存地，創建虛假賬戶，並布署監測程序。

染指最終目標之後，黑客會先進行一番偵察監視，收集在用軟體、憑證和控制過程的信息。這些信息通過SMB協議滲漏到遠程伺服器上，然後，黑客再執行一系列動作掩蓋其蹤跡。

US-CERT已經在報告中列出解決方法：

禁用所有SMB協議，以及 TCP 139和445埠，還有UDP137埠；

在邊界網關設備上禁用基於Web的分散式編輯和版本控制(WebDAV)協議；

監視VPN異常行為；

分隔關鍵網路/系統和業務系統；

僅使用帶高級日誌的PowerShell 5；

禁用對管理員賬戶的外部訪問；

實現雙因子身份驗證。

侵入US-CERT描述的控制系統並沒有人們想像中的那麼難。

CyberX工業網路安全副總裁菲爾·內瑞表示：

「這些網路從設計上就不安全，完全依賴物理隔離之類的老舊觀念。但其實很多物理隔離網路中都有通向互聯網的連接。」

安全問題絕大部分是源於老舊設備和廠商不再支持的操作系統。現有老舊系統能夠可靠地執行所需功能，這就導致很多企業不願意升級或替換掉這些。其結果是：企業運行著一旦操作系統升級就無法正常工作的應用程序，而且不願打上補丁。但是，技術發展日新月異的時代，周圍環境都已經發生翻天覆地的變化了，再沿用這些老舊設備和系統無異於裸奔，絲毫不受保護。

內容整理於鳳凰網、安全牛

優炫操作系統安全增強系統（簡稱RS-CDPS）通過安裝在伺服器的安全內核保護伺服器數據，通過截取系統調用實現對文件系統的訪問控制，以加強操作系統安全性。它具有完整的用戶認證，訪問控制及審計功能，不用更改操作系統就可以安裝，提供信息系統主動防護功能，操作方便、易於系統管理和安全管理。可對UNIX類、LINUX類、WINDOWS類各種操作系統進行統一管理，為管理人員提供方便，可以保障客戶的伺服器安全、持續、長效運行。

優炫工業安全網關（簡稱UXSG）設備集工業協議網路交換、數據傳輸加密、病毒偵測、防DoS攻擊、流量控制、內容過濾、應用程序管制、AAA認證、IPSec VPN、IPS（Intrusion Prevention System）、IPv6支持等諸多功能於一體的新一代工業安全網關產品。廣泛適用於電力、石油、化工、軍工、製造等各行業。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！