過(guò)去一周,業(yè)界對(duì)SolarWinds黑客攻擊的關(guān)注主要集中在美國(guó)聯(lián)邦政府部門(mén),但是根據(jù)工控系統(tǒng)安全公司Dragos的最新報(bào)告,SolarWinds惡意軟件還感染了電氣、石油和制造行業(yè)的十多個(gè)關(guān)鍵基礎(chǔ)設(shè)施公司,這些公司也都在運(yùn)行SolarWinds公司的軟件。
Dragos公司首席執(zhí)行官羅伯·李說(shuō),除了關(guān)鍵的基礎(chǔ)設(shè)施公司之外,SolarWinds軟件還感染了為這些公司提供服務(wù)的三家設(shè)備制造商。
威力巨大的“雙供應(yīng)鏈攻擊”
黑客在SolarWinds Orion植入木馬化后門(mén)的做法本身屬于軟件供應(yīng)鏈攻擊,這種攻擊威力巨大,可以“以點(diǎn)帶面”,輻射數(shù)以萬(wàn)計(jì)的政府部門(mén)和企業(yè)。而針對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施OEM制造商的攻擊,則屬于產(chǎn)業(yè)供應(yīng)鏈攻擊,能夠針對(duì)性地輻射到OEM供應(yīng)商的所有客戶(hù)(關(guān)鍵基礎(chǔ)設(shè)施)。這種軟件供應(yīng)鏈與產(chǎn)業(yè)供應(yīng)鏈疊加的“雙供應(yīng)鏈攻擊”,使得SolarWinds惡意軟件成為美國(guó)關(guān)鍵基礎(chǔ)設(shè)施迄今面臨的最嚴(yán)峻的網(wǎng)絡(luò)安全危機(jī)。
關(guān)鍵基礎(chǔ)設(shè)施的服務(wù)公司在業(yè)內(nèi)被稱(chēng)為原始設(shè)備制造商(OEM)。他們往往可以遠(yuǎn)程訪問(wèn)客戶(hù)網(wǎng)絡(luò)的關(guān)鍵部分,擁有能夠更改網(wǎng)絡(luò)配置、安裝新軟件甚至控制關(guān)鍵操作的特權(quán)。這意味著入侵OEM設(shè)備供應(yīng)商的黑客可能會(huì)利用獲取帶賬戶(hù)憑據(jù)來(lái)控制關(guān)鍵的客戶(hù)流程。
“設(shè)備制造商對(duì)客戶(hù)網(wǎng)絡(luò)帶(雙向)訪問(wèn),通常用于控制渦輪機(jī)之類(lèi)的敏感設(shè)備,可(被黑客)用于破壞行動(dòng),”羅伯·李說(shuō)道?!暗?,黑客僅僅獲取訪問(wèn)權(quán)限并不意味著他知道該做什么或如何做。這并不意味著他們可以關(guān)掉電閘。(獲取訪問(wèn)權(quán))之后,黑客如果想實(shí)施破壞還需要做更多的事情?!?/p>
但是,入侵OEM設(shè)備制造商確實(shí)會(huì)放大基礎(chǔ)架構(gòu)的潛在風(fēng)險(xiǎn)。
國(guó)家安全局前關(guān)鍵基礎(chǔ)設(shè)施威脅情報(bào)分析師Lee說(shuō):“尤其令人擔(dān)憂(yōu)的是…入侵一個(gè)OEM設(shè)備制造商,可能會(huì)為黑客打開(kāi)進(jìn)入數(shù)千個(gè)組織的大門(mén)。”“例如,受到攻擊的兩家OEM設(shè)備制造商可以訪問(wèn)全球數(shù)百個(gè)工控系統(tǒng)網(wǎng)絡(luò)?!?/p>
Lee指出,在某些情況下,OEM設(shè)備制造商不僅有訪問(wèn)客戶(hù)網(wǎng)絡(luò)的權(quán)限,實(shí)際上還直接通過(guò)SolarWinds軟件感染了客戶(hù)。因?yàn)檫@些設(shè)備制造商不僅在自己的網(wǎng)絡(luò)上使用SolarWinds,還將其安裝在客戶(hù)網(wǎng)絡(luò)上以管理和監(jiān)視工控系統(tǒng)網(wǎng)絡(luò),很多客戶(hù)甚至對(duì)此毫不知情。
SolarWinds在3月遭到入侵,軟件更新被木馬化,攻擊者能夠訪問(wèn)任何下載這些更新的用戶(hù)的網(wǎng)絡(luò)。美國(guó)政府官員(例如國(guó)務(wù)卿蓬佩奧)已將這次入侵與俄羅斯聯(lián)系起來(lái)。
網(wǎng)絡(luò)安全公司FireEye的安全研究人員將這個(gè)木馬后門(mén)命名為SUNBURST(日爆)。
FireEye首席執(zhí)行官凱文·曼迪亞(Kevin Mandia)表示,攻擊者只進(jìn)入了被后門(mén)感染的數(shù)千個(gè)實(shí)體中的約50個(gè)。
Lee說(shuō),關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的感染不僅發(fā)生在公司的IT網(wǎng)絡(luò)上,而且有時(shí)還發(fā)生在管理關(guān)鍵功能的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)上。
但是,目前沒(méi)有證據(jù)表明黑客利用SolarWinds軟件中的后門(mén)來(lái)訪問(wèn)被感染了的15個(gè)電力、石油、天然氣和制造企業(yè)。但是Lee指出,如果攻擊者確實(shí)訪問(wèn)并滲透進(jìn)入了工業(yè)控制系統(tǒng)網(wǎng)絡(luò),人們也很難發(fā)現(xiàn),因?yàn)殛P(guān)鍵基礎(chǔ)架構(gòu)實(shí)體通常不會(huì)對(duì)其控制系統(tǒng)網(wǎng)絡(luò)進(jìn)行大量的日志記錄和監(jiān)視。
“在這些ICS網(wǎng)絡(luò)中,大多數(shù)組織都沒(méi)有(足夠的)數(shù)據(jù)和可見(jiàn)性來(lái)真正尋找漏洞,”Lee說(shuō)?!耙虼?,他們可能會(huì)確定自己是否受到威脅,但是幾乎沒(méi)有受害企業(yè)有網(wǎng)絡(luò)日志可用來(lái)確定(他們的網(wǎng)絡(luò)中)是否存在后續(xù)攻擊活動(dòng)。”
Lee進(jìn)一步說(shuō),所有受感染的企業(yè)“都已假設(shè)受到威脅,并在進(jìn)行必要的威脅搜尋工作”。但是,如果沒(méi)有日志記錄,很難跟蹤黑客在網(wǎng)絡(luò)中的活動(dòng),企業(yè)只能通過(guò)一些所謂的惡意行為來(lái)判斷是否受到威脅。“這是一個(gè)深入地下,難以根除的危險(xiǎn)對(duì)手?!?/strong>
如果黑客使用受感染的OEM設(shè)備制造商的憑據(jù)和特權(quán)訪問(wèn)進(jìn)入,則客戶(hù)想要發(fā)現(xiàn)黑客的活動(dòng)可能更加困難,因?yàn)楹芏嗔髁亢突顒?dòng)看起來(lái)是合法的。
據(jù)悉,Dragos公司已經(jīng)通知三個(gè)被感染的OEM設(shè)備制造商,以及有關(guān)政府官員和當(dāng)選總統(tǒng)喬·拜登的新政府。美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)上周發(fā)布的警報(bào)指出,美國(guó)的關(guān)鍵基礎(chǔ)設(shè)施實(shí)體受到SolarWinds木馬化軟件的威脅,但沒(méi)有具體指出受影響的行業(yè),也沒(méi)有指出包括關(guān)鍵基礎(chǔ)設(shè)施的OEM設(shè)備供應(yīng)商。
參考鏈接:https://new.qq.com/omn/20201228/20201228A089AY00.html
及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)
【網(wǎng)絡(luò)安全監(jiān)管部門(mén)】免費(fèi)試用
本文來(lái)源:安全牛
如涉及侵權(quán),請(qǐng)及時(shí)與我們聯(lián)系,我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話:400-869-9193 負(fù)責(zé)人:張明