针对运营技术系统的恶意软件变体非常罕见,但去年发现了 2 个
快速阅读: 据《The Register》最新报道,去年,两种新型工业控制系统恶意软件“福克斯内特”(Fuxnet)和“弗罗斯蒂古普”(FrostyGoop)被发现,分别导致乌克兰和莫斯科的供暖系统中断。这类恶意软件虽罕见,但勒索软件在ICS组织中的感染率却上升了87%,达1693起。专家警告,政府和犯罪分子合作加剧了此类威胁的风险。
去年,两种专为干扰关键工业流程而设计的新恶意软件变种被释放到运营技术网络中,导致一起事件使600多栋公寓楼停止供暖,另一起则干扰了天然气、水和污水网络传感器的通信。在发现这两种分别命名为“福克斯内特”(Fuxnet)和“弗罗斯蒂古普”(FrostyGoop)的恶意软件之前,只有七种已知的工业控制系统(ICS)恶意软件变种存在。这些恶意软件变种仍然罕见,因为攻击者通常不需要编写特定代码来破坏工业系统。更简单的方法是利用僵尸网络和其他通用恶意软件,或者滥用这些工业系统环境的原生功能。“换句话说:如果电力系统操作员可以利用原生功能打开断路器并使变电站断电,那么对手也可以利用原生功能做到这一点。”Dragos公司首席执行官兼联合创始人罗伯特·M·李表示。“因此,当恶意软件出现时,这是一件大事,因为在工业控制系统的历史上我们只发现了七种这样的恶意软件。”Dragos专注于运营技术网络安全,李正在向记者介绍他公司的年度回顾报告。结果发现2024年有几个值得注意的原因,其中大部分都属于安全光谱的焦虑范畴。2024年,勒索软件在ICS组织中激增,与去年同期相比增加了87%,2024年总共发生了1693起感染。其中,25%涉及全面停机,而75%则不同程度地扰乱了运营。然而,李指出实际数字可能更高,因为运营技术攻击经常被低估报告。尽管勒索软件继续困扰着各行各业的公司,但这些新的ICS特定恶意软件变种对安全分析师来说是个问题,因为它们是独一无二的——一旦被政府或普通罪犯开发和滥用,就更有可能扩散开来。福克斯内特(Fuxnet)和弗罗斯蒂古普(FrostyGoop)中的一起事件中,一个支持乌克兰的黑客团队“黑杰克”声称侵入了莫斯科市政组织“莫斯科收集器”。该组织负责维护政府的天然气、水和污水处理网络通信系统。在入侵路由器和传感器网关后,黑杰克部署了福克斯内特恶意软件——需要注意的是,Dragos声称福克斯内特是第八种已知的ICS恶意软件的说法仍有待验证。黑杰克声称福克斯内特攻击使数千台设备失效,阻断了所有工业传感器的通信。Dragos对该恶意软件的分析显示有两个组件:由通用Linux擦除器恶意软件组成的传感器网关破坏器,以及一个计量表总线拒绝服务组件。计量表总线是欧洲标准协议,用于从水、气和电力表读取传感器数据,该恶意软件的这一ICS特定组件通过串行连接发送大量计量表总线请求来淹没传感器。在莫斯科收集器攻击之后,黑客还吹嘘他们窃取了组织数据,篡改了社交媒体账户,访问了紧急服务号码112,并重置了设备和工作站。这需要谨慎对待。Dragos报告称虽然“很可能确实发生了对工业传感器和传感器网关的干扰……但干扰的程度并不像黑杰克所声称的那样严重”。虽然福克斯内特恶意软件似乎高度定制于莫斯科收集器,并且“在不大幅修改代码库的情况下,不太可能用于另一个工业环境”,但这并不意味着它对其他设置和地理位置的关键基础设施运营商无关紧要。李说:“福克斯内特‘揭示了如何针对其他站点的战术或知识,其他行为者可以获取并加以利用。’”工业控制系统恶意软件“是一种极具升级性和传播性的恶意软件——比IT恶意软件更甚,”李补充道。“我们看到越来越多的国家和非国家行为者使用工业控制系统恶意软件并开发这种恶意软件,我们也应该预料到这种传播会增加。”第九种已知的ICS恶意软件是更多人听说过的。它被称为弗罗斯蒂古普(FrostyGoop),Dragos在2024年4月发现了它,但表示攻击始于2024年1月底,目标是乌克兰利沃夫市一家市政区域能源公司,该公司为超过600栋公寓楼提供集中供暖。“你有一千人处于零度以下的低温环境中——这对平民来说是非常可怕的,”李说。“这是非常不幸的,甚至可以说是残忍的行为。这是没有实现任何真正的军事目标。这只是打击平民。”此外,除了可能导致人们因缺乏热量而丧生外,弗罗斯蒂古普还是首款使用Modbus协议发送命令的恶意软件,包括指定目标,并向ICS设备读写数据。这很可怕,因为Modbus是一种广泛使用的协议。现在一组恶棍已经展示了如何用它造成现实世界的伤害,其他人就有了模仿的蓝图。“几乎地球上的每个工业操作都在使用Modbus,”李说。“重要的是有人终于实现了这一点,并展示了如何在攻击中加以利用。这使其正常化,并分享了其他对手可以获取并加以利用的知识。”新威胁团伙瞄准ICS首先是铝土矿(Bauxite),自2023年以来,它在美国、欧洲、澳大利亚和西亚的多个关键基础设施部门发动了攻击。据称,这个组织与支持伊朗的黑客团队“网络复仇者”(CyberAvengers)有“显著的技术重叠”。联邦调查局和其他联邦机构此前指责“网络复仇者”(CyberAvengers)对美国使用的Unitronics PLC水和其他关键基础设施系统发动了多次攻击。“预计到2025年,铝土矿将增强其能力,并试图在全球范围内对运营技术/工业控制系统实体发动破坏性行动,”报告警告说。其次是另一个新团伙“石墨”(Graphite),自2023年以来一直活跃,并使用“近乎持续的鱼叉式网络钓鱼活动”发送武器化的电子邮件和基于自定义脚本的恶意软件。Dragos注意到该组织与克里姆林宫的花旗熊(又称APT28)有“强大的技术重叠”。具体到ICS组织,Dragos表示在2023年初发现了一次针对东欧和西亚水电站的石墨网络钓鱼活动,利用了微软Outlook中的无点击漏洞来窃取Windows身份验证数据。国家行为体与犯罪分子相互交织最近的报告中,其他安全分析师强调的一个趋势是国家网络间谍和以盈利为目的的网络犯罪分子之间的界限越来越模糊。“一直以来都有传言,”他说,“但在运营技术领域,几乎没有例子。”然而,今年,“我们能够证明并确认国家和非国家行为者之间存在一些相当强的联系,”李说,他提到了俄罗斯格鲁乌网络部队“沙虫”(Sandworm)与支持俄罗斯的黑客团体“俄罗斯网络军复兴”(CyberArmyofRussia_Reborn)有关联,该团体被指责对美国和欧洲的水厂发动网络攻击。“这是因为政府支持的团体‘往往更加专注于他们的攻击。他们会创建恶意软件,展示新的方式来扰乱基础设施。这些攻击频率低但后果严重。它们不像IT攻击那样频繁发生,但一旦发生,后果非常严重,”李说。另一方面,犯罪分子和黑客团体更加机会主义,“打击任何他们能打击的人,”李说。来自政府官员和关键基础设施所有者和运营商的主要担忧是,政府攻击者正在与犯罪集团共享知识和能力,而这些犯罪集团以前没有能力针对工业控制系统。“然后你会开始看到那些低频、高后果的攻击变得更加频繁和严重,”李说。“坦率地说,大多数社区对此根本没有任何准备。”
(以上内容均由Ai生成)
