双链攻击:美国关键基础设施大规模感染SolarWinds后门
作者:星期一, 十二月 28, 20200

过去一周,业界对SolarWinds黑客攻击的关注主要集中在美国联邦政府部门,但是根据工控系统安全公司Dragos的最新报告,SolarWinds恶意软件还感染了电气、石油和制造行业的十多个关键基础设施公司,这些公司也都在运行SolarWinds公司的软件。

Dragos公司首席执行官罗伯·李说,除了关键的基础设施公司之外,SolarWinds软件还感染了为这些公司提供服务的三家设备制造商。

威力巨大的“双供应链攻击”

黑客在SolarWinds Orion植入木马化后门的做法本身属于软件供应链攻击,这种攻击威力巨大,可以“以点带面”,辐射数以万计的政府部门和企业。而针对美国关键基础设施OEM制造商的攻击,则属于产业供应链攻击,能够针对性地辐射到OEM供应商的所有客户(关键基础设施)。这种软件供应链与产业供应链叠加的“双供应链攻击”,使得SolarWinds恶意软件成为美国关键基础设施迄今面临的最严峻的网络安全危机。

关键基础设施的服务公司在业内被称为原始设备制造商(OEM)。他们往往可以远程访问客户网络的关键部分,拥有能够更改网络配置、安装新软件甚至控制关键操作的特权。这意味着入侵OEM设备供应商的黑客可能会利用获取带账户凭据来控制关键的客户流程。

“设备制造商对客户网络带(双向)访问,通常用于控制涡轮机之类的敏感设备,可(被黑客)用于破坏行动,”罗伯·李说道。“但是,黑客仅仅获取访问权限并不意味着他知道该做什么或如何做。这并不意味着他们可以关掉电闸。(获取访问权)之后,黑客如果想实施破坏还需要做更多的事情。”

但是,入侵OEM设备制造商确实会放大基础架构的潜在风险。

国家安全局前关键基础设施威胁情报分析师Lee说:“尤其令人担忧的是…入侵一个OEM设备制造商,可能会为黑客打开进入数千个组织的大门。”“例如,受到攻击的两家OEM设备制造商可以访问全球数百个工控系统网络。”

Lee指出,在某些情况下,OEM设备制造商不仅有访问客户网络的权限,实际上还直接通过SolarWinds软件感染了客户。因为这些设备制造商不仅在自己的网络上使用SolarWinds,还将其安装在客户网络上以管理和监视工控系统网络,很多客户甚至对此毫不知情。

SolarWinds在3月遭到入侵,软件更新被木马化,攻击者能够访问任何下载这些更新的用户的网络。美国政府官员(例如国务卿蓬佩奥)已将这次入侵与俄罗斯联系起来。

网络安全公司FireEye的安全研究人员将这个木马后门命名为SUNBURST(日爆)。

FireEye首席执行官凯文·曼迪亚(Kevin Mandia)表示,攻击者只进入了被后门感染的数千个实体中的约50个。

Lee说,关键基础设施领域的感染不仅发生在公司的IT网络上,而且有时还发生在管理关键功能的工业控制系统网络上。

但是,目前没有证据表明黑客利用SolarWinds软件中的后门来访问被感染了的15个电力、石油、天然气和制造企业。但是Lee指出,如果攻击者确实访问并渗透进入了工业控制系统网络,人们也很难发现,因为关键基础架构实体通常不会对其控制系统网络进行大量的日志记录和监视。

“在这些ICS网络中,大多数组织都没有(足够的)数据和可见性来真正寻找漏洞,”Lee说。“因此,他们可能会确定自己是否受到威胁,但是…几乎没有受害企业有网络日志可用来确定(他们的网络中)是否存在后续攻击活动。”

Lee进一步说,所有受感染的企业“都已假设受到威胁,并在进行必要的威胁搜寻工作”。但是,如果没有日志记录,很难跟踪黑客在网络中的活动,企业只能通过一些所谓的恶意行为来判断是否受到威胁。“这是一个深入地下,难以根除的危险对手。”

如果黑客使用受感染的OEM设备制造商的凭据和特权访问进入,则客户想要发现黑客的活动可能更加困难,因为很多流量和活动看起来是合法的。

据悉,Dragos公司已经通知三个被感染的OEM设备制造商,以及有关政府官员和当选总统乔·拜登的新政府。美国国土安全部网络安全和基础设施安全局(CISA)上周发布的警报指出,美国的关键基础设施实体受到SolarWinds木马化软件的威胁,但没有具体指出受影响的行业,也没有指出包括关键基础设施的OEM设备供应商。

美国电网上演“乌克兰大停电”?

这并不是工业控制系统OEM设备制造商首次遭到黑客入侵。2012年,某国家黑客入侵了一家名为Telvent的OEM设备制造商,窃取了工程图并访问了用于对工业控制系统进行编程的文件。

Telvent是总部位于西班牙的施耐德电气(Schneider Electric)的一个部门,其软件已被用于美国和加拿大的石油和天然气管道以及一些水控制系统网络。当时,该漏洞引起了人们的关注,即黑客可能已在软件中嵌入了恶意代码以感染客户控制系统。

“当您查看工业网络时,许多人仍然认为它们是高度细分(段)的,但这仅意味着对公司的企业网络进行了细粒度分段,”Lee说道:“尽管(工控系统)与企业网络进行了分段隔离,但它们与OEM设备制造商以及与相关的网络维护、其他相连设备之间却存在广泛的连接。”

安全社区的调查人员表示,目前还没有足够的证据将SolarWinds供应链攻击归因于一个特定的黑客组织或国家,但多位美国政府官员(包括当选总统拜登和国务卿蓬佩奥)将这次行动归因于俄罗斯,尽管他们并未指出是什么导致了这一结论。

负责监管美国国家网络安全计划的前战略和国际研究中心官员詹姆斯·刘易斯指出:“政府中有这么多官员(将这些归因于俄罗斯),显然,这不可能是毫无依据的指控。取证人员正在研究黑客在网络上留下的痕迹,但这可能不是最佳的溯源方法,政府也在使用其他方法进行归因和溯源。因此,即便网络安全专业取证人员尚未发现证据,并不意味着政府情报部门没有完整的图片。”

上周一,俄罗斯政府发言人德米特里·佩斯科夫(Dmitry Peskov)公开否认对SolarWinds供应链攻击行动负责。随后在上周六的两条推文中,特朗普有意淡化了SolarWinds袭击的严重性,并调转矛头将怀疑对象从俄罗斯转移到了中国。据美联社报道,原本白宫上周五准备发布声明正式宣布俄罗斯是攻击的主使者,但在最后关头被撤下。

目前,SolarWinds黑客攻击的范围仍是未知数,但到目前为止,已经呈报遭受攻击的组织包括:美国国土安全部、商务部和财政部;至少两个国家实验室;联邦能源管理委员会;维护国家核武器库存的美国国家核安全局;微软、思科和英特尔等科技巨头也被感染了。

此外,政府机构的许多入侵行为不仅限于SolarWinds恶意软件感染。参议员罗恩·怀登(Ron Wyden)上周透露,黑客能够阅读和窃取美国财政部一些高级官员的电子邮件。

SolarWinds供应链攻击不是普通的间谍活动,黑客对关键基础设施的入侵可制造更大的威胁。而俄罗斯,恰恰是为数不多的(如果不是唯一的),具备验证过的破坏关键基础设施的能力的国家。

2015年,俄罗斯黑客在冬季入侵了几家乌克兰配电厂,切断了23万名客户的电源长达6个小时之久。此外,2016年俄罗斯黑客组织在乌克兰再次实施攻击,切断部分客户供电长达一个小时,还袭击了管理乌克兰国家铁路系统的国家铁路运输管理局。这一系列行动让专家得出一个结论:那就是俄罗斯人正在用乌克兰作为试验床,以完善可以在其他国家(例如美国)使用的黑客技术。

上周日,在CNN的“国情咨文”节目中,参议员罗姆尼指出:“俄罗斯所做的就是建立打击美国的电力、能源、水利、通信等关键基础设施的能力。”他继续说:“这与战争时期的攻击无异,因此非常危险,这是对我们主权的无情羞辱,并且必须得到非常强烈的回应。”

国土安全部的前副部长苏珊娜·斯波丁则认为,SolarWinds供应链攻击黑客的意图仍然未知,即使他们入侵了电力、石油和天然气行业的网络,但这并不意味着他们具备造成破坏的能力。

她说:“但即便如此,黑客仍然可以获得很多信息…有助于规划一次真正的破坏性攻击。”由于SolarWinds活动中的黑客也入侵了美国联邦能源监管委员会,因此可以向他们提供有关美国电网中的漏洞和安全措施的信息,以便他们以后可以利用它们进行攻击。斯波丁提及了2015年俄罗斯对乌克兰配电厂的黑客攻击:黑客在工厂网络中至少进行了六个月的侦察,以了解设备及其工作原理,然后在当年12月制造了大断电。

Lee则警告说:“虽然其他国家黑客组织例如伊朗也曾入侵美国电网,但这是不同的。如果伊朗入侵关键基础设施的工业控制系统,只能说它具备破坏的可能性,但你不确定黑客是否具备足够的(工控系统专业)知识和能力。但是,如果俄罗斯是SolarWinds攻击的幕后黑手,考虑到俄罗斯已经展示了这种破坏能力。因此,我们的问题将不再是能否,而是会否,亦或,何时?”


相关文章

没有相关文章!