毫无疑问,你看到了上周美国国土安全部(DHS)关于俄罗斯黑客进入发电设施的隔离、安全、气隙网络的一连串新闻。国土安全部指出,黑客首先侵入了公用事业公司可信供应商的网络,从而获得了访问权限。黑客利用鱼叉式网络钓鱼邮件和酒吧等工具,让受害者在受欺骗的网站上输入密码,从而达到这一目的。
不用说,最近的消息听起来很像美国计算机应急准备小组(CERT)去年3月发布的警报俄罗斯黑客侵入了制造业和公用事业基地的工业控制系统(ics).
考虑到来自国土安全部的最新消息与我们在3月份听到的消息之间的相似之处,我联系了几位我为这篇报道采访的人,想知道这条新闻是今年早些时候报道的袭击仍在继续的证据,还是代表着一些新的和不同的东西。
ICS网络安全技术供应商Indegy的市场总监Michael Rothschild表示,他们还没有看到任何具体的方法信息,以确定最近的消息是否与3月份CERT警告所强调的有本质上的不同。罗斯柴尔德补充说:“我认为,随着调查的继续,我们将听到更多关于所使用的方法。”
不过,他确实指出,一些新闻报道表明,俄罗斯黑客已经进入了公用事业公司的网络,能够“打开开关”,切断部分电网的电源。“这是我们迄今为止还没有看到的情况,”他说。
美国国土安全部在给《FCW》杂志的一份声明中对此进行了澄清,其中报告称,“虽然有数百家能源和非能源公司成为攻击目标,但他们进入工业控制系统的事件是一个非常小的发电资产,如果下线,不会对更大的电网产生任何影响。”
国土安全部表示,最近公布的这些攻击的主要成就是从公用事业公司收集信息,了解他们的网络和相关设备是如何配置的。一份报告中提到《华尔街日报》美国国土安全部ICS分析部门负责人乔纳森·霍默(Jonathan Homer)说,黑客这么做是“为了学习如何把正常情况变得不正常”。
流程安全、网络安全和资产可靠性软件供应商PAS的创始人兼首席执行官埃迪·哈比比(Eddie Habibi)表示,尽管这份“来自国土安全部的最新报告是蜻蜓公司故事的一部分我们在去年秋天发表了评论然后是2018年3月,这证实了美国电力公用事业公司实际上受到了损害。这一次国土安全部提供了更多的细节和重点,例如,即使是气隙系统也遭到了破坏。”
ICS网络安全技术供应商Claroty的威胁研究副总裁戴夫·韦恩斯坦(Dave Weinstein)说,国土安全部的最新消息凸显了“我们一直在宣传的一件事,即第三方供应商向预期目标引入的风险。”“在分期阶段,俄罗斯人对他们追捕的供应商非常挑剔,受害的供应商都与预定目标建立了非常可靠的关系。”
如果你想知道这些目标供应商是谁,作为工业技术用户,你必须直接联系国土安全部,因为国土安全部在他们的公开报告中匿名了这些信息。
瀑布安全解决方案(ICS网络安全单向硬件和软件供应商)的首席执行官兼联合创始人Lior Frenkel仔细研究了黑客如何使用公用事业公司可信供应商的网络来访问公用事业公司本身,他表示,黑客使用了存储在供应商网络上的远程访问凭证。在一个博客在这个话题上,Frankel指出这些攻击是如何攻破气隙网络的。“但如果我们看一下这些攻击,就会发现不是俄罗斯人突破了空气间隙,而是公用事业公司自己。公用事业公司通过安装防火墙来为他们的供应商提供远程访问,从而破坏了空气间隙,”他写道。“当我们向我们的员工或供应商提供远程访问凭据时,我们想象我们给予了那个人登录我们系统的权限。我们真正要做的是配置我们的系统,这样任何有凭据的人都可以登录。攻击者首先登录到供应商网络,然后使用电力公用事业凭证从供应商连接到公用事业网络。通过这种方式,电力公司复杂的入侵检测系统被静音了。对于公用事业公司来说,这些连接似乎完全正常,因为合法的供应商一直使用合法的帐户和密码从供应商网络登录。”
从DHS最新的消息中得到的重要启示是,这种对公用事业的威胁同样适用于离散制造商和处理器。Indegy的罗斯柴尔德指出:“电力公司的技术并不独特。无论是发电厂、炼油厂、制造设施还是污水处理厂,它们都依赖于同一类型的监控和数据采集(SCADA)系统或分布式控制系统(DCS)。一旦一个倒下,就太晚了。现在是为这一日益严重的威胁做好准备的时候了。这样做实际上可以让灯保持亮着,(让你)远离那些用键盘造成的伤害比导弹更大的人。”