美联储：APT 拥有可以接管关键基础设施的工具

联邦机构警告说，威胁行为者已经构建并准备部署可以接管许多广泛使用的工业控制系统 (ICS) 设备的工具，这给关键基础设施提供商带来麻烦，尤其是能源领域的提供商。

In 联合咨询美国能源部 (DoE)、网络安全和基础设施安全局 (CISA)、国家安全局 (NSA) 和联邦调查局 (FBI) 警告称，“某些高级持续威胁 (APT) 行为者”已经展示了“获得全面控制”的能力。系统访问多个工业控制系统（ICS）/监控和数据采集（SCADA）设备，”根据警报。

据各机构称，APT 开发的定制工具一旦获得运营技术 (OT) 网络的访问权限，就可以扫描、破坏和控制受影响的设备。他们表示，这可能导致许多邪恶行为，包括特权提升、OT 环境内的横向移动以及关键设备或功能的中断。

面临风险的设备有：施耐德电气 MODICON 和 MODICON Nano 可编程逻辑控制器 (PLC)，包括（但可能不限于）TM251、TM241、M258、M238、LMC058 和 LMC078；欧姆龙 Sysmac NEX PLC；这些机构表示，它们还包括开放平台通信统一架构（OPC UA）服务器。

APT 还可以利用华擎中的已知漏洞来危害 IT 或 OT 环境中存在的基于 Windows 的工程工作站 主机板 司机，他们说。

应注意警告

尽管联邦机构经常发布有关网络威胁的建议，但一位安全专业人士敦促 关键基础设施提供商 不要轻视这个特别的警告。

Tripwire 战略副总裁蒂姆·埃尔林 (Tim Erlin) 在给 Threatpost 的电子邮件中指出：“毫无疑问，这是 CISA 发出的重要警报。” “工业组织应该关注这一威胁。”

他指出，虽然警报本身侧重于访问特定 ICS 设备的工具，但更大的前景是，一旦威胁行为者获得立足点，整个工业控制环境都将面临风险。

“攻击者需要一个初始妥协点才能访问所涉及的工业控制系统，组织应该相应地建立防御措施，”埃尔林建议。

模块化工具集

他们表示，这些机构提供了 APT 开发的模块化工具的详细信息，这些工具使他们能够“针对目标设备进行高度自动化的攻击”。

他们将这些工具描述为具有一个带有命令界面的虚拟控制台，该命令界面镜像了目标 ICS/SCADA 设备的界面。这些机构警告说，模块与目标设备交互，甚至使技能较低的威胁行为者也能够模仿技能较高的功能。

APT 使用这些模块可以采取的操作包括：扫描目标设备、对设备详细信息进行侦察、向目标设备上传恶意配置/代码、备份或恢复设备内容以及修改设备参数。

此外，APT 攻击者还可以使用一种工具来安装并利用华擎主板驱动程序 AsrDrv103.sys 中的漏洞，该漏洞被追踪为 CVE-2020-15368。该缺陷允许在 Windows 内核中执行恶意代码，从而促进 IT 或 OT 环境的横向移动以及关键设备或功能的中断。

针对特定设备

演员也有特定的模块来攻击对方 工业控制系统设备。施耐德电气的模块通过常规管理协议和 Modbus (TCP 502) 与设备进行交互。

该模块可能允许攻击者执行各种恶意操作，包括运行快速扫描以识别本地网络上的所有施耐德 PLC；暴力破解PLC密码；进行拒绝服务 (DoS) 攻击以阻止 PLC 接收网络通信；根据该通报，或者进行“死亡包”攻击以使 PLC 崩溃等。

这些机构表示，APT 工具中的其他模块以欧姆龙设备为目标，可以在网络上扫描它们并执行其他危害功能。

此外，根据警报，欧姆龙模块可以上传一个代理，允许威胁行为者通过 HTTP 和/或安全超文本传输​​协议 (HTTPS) 连接并启动命令，例如文件操作、数据包捕获和代码执行。

最后，该机构警告说，一个允许破坏 OPC UA 设备的模块包括识别 OPC UA 服务器以及使用默认或之前被破坏的凭据连接到 OPC UA 服务器的基本功能。

建议的缓解措施

这些机构为关键基础设施提供商提供了广泛的缓解措施列表，以避免 APT 工具对其系统造成损害。

“这并不像打补丁那么简单，”Tripwire 的 Erwin 指出。在这份清单中，他提到了隔离受影响的系统；采用端点检测、配置和完整性监控；日志分析是组织应立即采取的关键行动，以保护其系统。

联邦政府还建议关键基础设施提供商制定一项网络事件响应计划，IT、网络安全和运营方面的所有利益相关者都知道该计划，并且可以在必要时快速实施，并维护有效的离线备份，以便在发生破坏性攻击时更快地恢复，以及其他缓解措施。

迁移到云端？ 发现新兴的云安全威胁以及有关如何使用我们的资产保护您的资产的可靠建议 免费下载电子书，“云安全：2022 年的预测”。 我们探讨了组织的主要风险和挑战、防御的最佳实践以及在这种动态计算环境中安全成功的建议，包括方便的清单。