美国政府机构警告说,国家支持的黑客已经开发出定制的恶意软件,使他们能够破坏和劫持常用的工业控制系统 (ICS) 设备。
该公告由网络安全和基础设施安全局 (CISA)、联邦调查局、国家安全局和能源部联合发布,警告威胁参与者已经开发了一个自定义工具包,使他们能够扫描、破坏和控制 ICS 设备一次它们连接到运营技术(OT) 网络。这些工具专门针对施耐德电气和欧姆龙制造的可编程逻辑控制器 (PLC) 而设计,这两家公司均未回复我们的置评请求。
黑客还拥有恶意软件,利用漏洞利用华擎主板针对Windows系统执行恶意代码并横向移动并破坏 IT 或 OT 环境。
“通过妥协和维护对 ICS/SCADA 设备的完整系统访问,APT 参与者可以提升权限,在 OT 环境中横向移动,并破坏关键设备或功能,”该咨询警告说。
虽然联邦机构没有分享有关咨询中提到的黑客工具和恶意软件的任何其他信息,但安全情报公司 Mandiant 表示,自 2022 年初以来,它一直在分析面向 ICS 的攻击工具,并将其命名为 Incontroller。
“Incontroller 代表了一种极其罕见和危险的网络攻击能力,” Mandiant 在对威胁的分析中写道,并补充说它可与 Triton、Student 和 Industroyer 相媲美。
后者在 2016 年被俄罗斯支持的 Sandworm APT 集团用来切断乌克兰的电力,导致圣诞节前两天数十万客户断电。相同的攻击者最近部署了一个名为“ Industroyer2 ”的修改变体,试图摧毁一家乌克兰能源供应商,但这一努力被乌克兰计算机应急响应小组 (CERT-UA) 成功破坏。
Mandiant 补充说,Incontroller ——据称可用于关闭关键机器、破坏工业流程和禁用安全控制器——“很可能”由国家赞助,因为它的复杂性和“在经济动机操作中的效用有限”。这家网络安全公司表示,它无法将恶意软件与已知组织联系起来,但表示其活动“符合俄罗斯对 ICS 的历史兴趣”。
工业网络安全初创公司Dragos也一直在将该工具包跟踪为“ Pipedream ”,据称该工具包是由一个名为 Chernovite 的国家支持的威胁组织创建的,该组织开发了该恶意软件,以便对 ICS 进行“破坏性或破坏性操作”。
Dragos 的首席执行官兼联合创始人罗伯特·李(Robert Lee)表示,虽然目标控制器在各个行业都很常见,但研究人员认为,黑客的预期目标是液化天然气和电力设施。但是,他补充说,迄今为止,该恶意软件尚未在目标网络中使用。
“这为防御者提供了一个独特的机会,可以在攻击之前进行防御,”Lee 告诉 TechCrunch,并补充说 Pipedream 只是第七个公开的 ICS 特定恶意软件。
美国政府机构敦促关键基础设施组织,特别是那些涉及能源的组织,采取多因素身份验证和一致的密码更改等措施来保护其控制系统。