Dragos：随着各国与私人行为者合作，新黑客组织涌入 ICS 领域

快速阅读: 据《Cyber Scoop 独家新闻》最新报道，2024年网络攻击激增，尤其是针对运营技术和工业控制系统的攻击。德拉戈斯报告显示，去年此类攻击上升87%，勒索软件团伙增长60%。首席执行官罗布·李表示，地缘政治冲突加剧导致国家和非国家行为者瞄准民用基础设施。例如，与中国政府有关的“台风伏尔特”组织正秘密渗透美国关键基础设施，准备可能的破坏性攻击。此外，各国与网络犯罪集团合作，增加对竞争对手国家关键基础设施的攻击频率。

2024年网络攻击激增，据网络安全公司德拉戈斯报告，越来越多的新威胁行为者将目标转向了运营技术（OT）和工业控制系统（ICS）。报告显示，去年针对工业组织的攻击上升了百分之八十七，而影响OT/ICS领域的勒索软件团伙数量增长了百分之六十。德拉戈斯首席执行官罗布·李表示，这种活动增加大多发生在更大的地缘政治冲突之后。目前，俄罗斯与乌克兰、中国与台湾、美国与俄罗斯、美国与中国、印度与巴基斯坦以及以色列与哈马斯之间正处于公开战争、即将开战或冷战状态。“地缘政治冲突很多，不幸的是，现实之一是国家行为者和非国家行为者倾向于针对民用基础设施。”李在报告发布前的记者会上表示。

事实上，美国国家安全官员在过去一年里一直在警告“台风伏尔特”的存在，这是一个与中国政府有关的黑客组织，该组织多年来一直在秘密渗透美国的关键基础设施网络。官员们表示，他们认为该组织正在为可能的未来破坏性攻击做准备，以阻止华盛顿如果中国入侵台湾时采取行动。但据李称，“台风伏尔特”只是过去一年来越来越多转向针对运营技术和工业控制系统的一组行为者的一部分——这些软件设计用于控制和操作制造业工厂、电力公用事业和其他工业部门中常用的物理机械。虽然对工业IT系统的攻击可能会扰乱一个组织，但专家认为，许多来自黑客攻击关键基础设施的最严重危害，如污染供水系统或关闭部分电网，可能发生在黑客获得并操控支撑许多工业操作的物理机械时。

李说，“台风伏尔特”针对关键基础设施的方式中最引人注目的是该组织对美国系统弱点的深刻理解。这包括识别港口中特定的变电站，这些变电站将被用来部署美军到南海，或者定位在停电情况下重启电源的关键发电机。“他们很好地研究并理解了什么是‘关键’，他们不仅攻击大型实体，还攻击了一些虽小却具有战略意义的地点。”李说。“不仅仅是‘让我获取IT网络访问权限，盗取一些密码，或许再获取操作网络访问权限并盗取一些密码’。他们实际上侵入了运营技术网络，并窃取了可用于破坏的信息。”

尽管近年来华盛顿的政策制定者更加关注关键基础设施威胁，OT和ICS安全通常被视为传统IT领域之外的一个小众领域。这使得攻击者和防御者的理解变得复杂。然而，这种动态正在开始改变。现在，“曾经忽视OT/ICS的对手现在将其视为实现干扰和引起注意的有效手段。”报告指出。此外，过去一年出现的迹象表明，各国越来越与网络犯罪集团合作，以放大对竞争对手国家关键基础设施的攻击。例如，李引用证据显示，自2022年以来，美国制裁的黑客组织“俄罗斯网络军复兴”（CARR）一直在与俄罗斯政府黑客组织共享基础设施和情报。李表示，这种转变不仅增加了恶意行为者针对关键基础设施的数量。历史上，国家行为者实施OT/ICS攻击，专注于“低频次、高影响”的行动，针对符合更广泛政府目标的资产。因此，全球范围内观察到的ICS特定恶意软件变种不到十种。但许多网络犯罪分子和黑客组织受到大笔收入或制造重大事件的潜在动机驱动。因此，他们的攻击往往更加无差别且不针对特定目标。随着各国继续与私人行为者合作，分享专业知识和资源以攻击关键基础设施，这些攻击的频率很可能会增加。

“我与大多数政府交谈时，他们最关心的问题是国家行为者向非国家行为者传播知识和能力。”李说。“这些非国家行为者以前无法有效地针对工业控制系统，但现在开始从有能力的国家行为者那里获得知识、培训、工具、基础设施和能力。”

(以上内容均由Ai生成)