美国关键基础设施大规模感染

过去一周,业界对SolarWinds黑客攻击的关注主要集中在美国联邦政府部门,但是根据工控系统安全公司Dragos的最新报告,SolarWinds恶意软件还感染了电气、石油和制造行业的十多个关键基础设施公司,这些公司也都在运行SolarWinds公司的软件。

Dragos公司首席执行官罗伯·李说,除了关键的基础设施公司之外,SolarWinds软件还感染了为这些公司提供服务的三家设备制造商。

威力巨大的“双供应链攻击”

黑客在SolarWinds Orion植入木马化后门的做法本身属于软件供应链攻击,这种攻击威力巨大,可以“以点带面”,辐射数以万计的政府部门和企业。而针对美国关键基础设施OEM制造商的攻击,则属于产业供应链攻击,能够针对性地辐射到OEM供应商的所有客户(关键基础设施)。这种软件供应链与产业供应链叠加的“双供应链攻击”,使得SolarWinds恶意软件成为美国关键基础设施迄今面临的最严峻的网络安全危机。

关键基础设施的服务公司在业内被称为原始设备制造商(OEM)。他们往往可以远程访问客户网络的关键部分,拥有能够更改网络配置、安装新软件甚至控制关键操作的特权。这意味着入侵OEM设备供应商的黑客可能会利用获取带账户凭据来控制关键的客户流程。

“设备制造商对客户网络带(双向)访问,通常用于控制涡轮机之类的敏感设备,可(被黑客)用于破坏行动,”罗伯·李说道。“但是,黑客仅仅获取访问权限并不意味着他知道该做什么或如何做。这并不意味着他们可以关掉电闸。(获取访问权)之后,黑客如果想实施破坏还需要做更多的事情。”

但是,入侵OEM设备制造商确实会放大基础架构的潜在风险。

国家安全局前关键基础设施威胁情报分析师Lee说:“尤其令人担忧的是…入侵一个OEM设备制造商,可能会为黑客打开进入数千个组织的大门。”“例如,受到攻击的两家OEM设备制造商可以访问全球数百个工控系统网络。”

Lee指出,在某些情况下,OEM设备制造商不仅有访问客户网络的权限,实际上还直接通过SolarWinds软件感染了客户。因为这些设备制造商不仅在自己的网络上使用SolarWinds,还将其安装在客户网络上以管理和监视工控系统网络,很多客户甚至对此毫不知情。

SolarWinds在3月遭到入侵,软件更新被木马化,攻击者能够访问任何下载这些更新的用户的网络。美国政府官员(例如国务卿蓬佩奥)已将这次入侵与俄罗斯联系起来。

网络安全公司FireEye的安全研究人员将这个木马后门命名为SUNBURST(日爆)。

FireEye首席执行官凯文·曼迪亚(Kevin Mandia)表示,攻击者只进入了被后门感染的数千个实体中的约50个。

Lee说,关键基础设施领域的感染不仅发生在公司的IT网络上,而且有时还发生在管理关键功能的工业控制系统网络上。

但是,目前没有证据表明黑客利用SolarWinds软件中的后门来访问被感染了的15个电力、石油、天然气和制造企业。但是Lee指出,如果攻击者确实访问并渗透进入了工业控制系统网络,人们也很难发现,因为关键基础架构实体通常不会对其控制系统网络进行大量的日志记录和监视。

“在这些ICS网络中,大多数组织都没有(足够的)数据和可见性来真正寻找漏洞,”Lee说。“因此,他们可能会确定自己是否受到威胁,但是…几乎没有受害企业有网络日志可用来确定(他们的网络中)是否存在后续攻击活动。”

Lee进一步说,所有受感染的企业“都已假设受到威胁,并在进行必要的威胁搜寻工作”。但是,如果没有日志记录,很难跟踪黑客在网络中的活动,企业只能通过一些所谓的恶意行为来判断是否受到威胁。“这是一个深入地下,难以根除的危险对手。”

如果黑客使用受感染的OEM设备制造商的凭据和特权访问进入,则客户想要发现黑客的活动可能更加困难,因为很多流量和活动看起来是合法的。

据悉,Dragos公司已经通知三个被感染的OEM设备制造商,以及有关政府官员和当选总统乔·拜登的新政府。美国国土安全部网络安全和基础设施安全局(CISA)上周发布的警报指出,美国的关键基础设施实体受到SolarWinds木马化软件的威胁,但没有具体指出受影响的行业,也没有指出包括关键基础设施的OEM设备供应商。

  

联系方式

13544009511

粤公网安备 44030502004801号