美国能源部(DOE)、国安局(NSA)、联邦调查局(FBI)与美国网络安全及基础设施安全局(CISA)本周联手警告,已有特定的先进持续威胁(APT)黑客组织展示了它们访问工业控制系统(ICS)及系统监控和资料搜集(SCADA)系统的能力,涵盖施耐德电机(Schneider Electric)与欧姆龙(OMRON)的Sysmac NEX可程序化逻辑控制器,以及开源且跨平台的传感器传输标准OPC Unified Architecture(OPC UA)。
调查显示,这群APT黑客已开发出锁定这些ICS/SCADA设备的定制化工具,当它们成功进入运营技术(OT)网络之后,便得以利用这些工具来扫描、危害并控制受影响的设备,此外,黑客还能开采华擎主板驱动程序的已知漏洞,黑进IT或OT环境中的Windows工程工作站。
在取得ICS/SCADA设备的访问权限之后,黑客可扩张权限以于OT环境中横向移动,并破坏重要设备或功能。
黑客所使用的工具采用模块化架构,具备高度的自动化攻击能力,相关工具也模拟了目标设备的接口,以降低操作门槛,这些针对施耐德电机、欧姆龙与OPC UA所打造的工具能够扫描目标设备,侦测设备细节,还能上传恶意配置或程序代码至目标设备,备份设备内容,以及变更设备参数。
因此,DOE、NSA、FBI与CISA督促重大基础设施企业,特别是能源领域的组织,应导入它们所提供的检测及缓解建议,以侦测潜在的APT活动并强化其ICS/SCADA设备,包括将ICS/SCADA网络与企业网络及公开网络隔离,对远程访问采用双因素认证,定期更新ICS/SCADA所有密码,维护良好的脱机备份,限制ICS/SCADA所连接的工作站数量,激活安全防护机制,监控系统运行,以及制定网络事件回应计划等。