美国政府发布安全公告称,美国的一家天然气压缩运营商遭勒索软件攻击。公告并未说明勒索攻击是何时发生的,只是总结了该事件并为其它关键基础设施运营者提供了技术指导,以防类似攻击活动再次发生。隶属于美国安全部的网络安全和基础设施安全局 (DHS CISA) 指出,网络威胁行动者使用了一个鱼叉式钓鱼链接获取对该组织机构信息技术网络的初始访问权限,之后跳转到其运营技术 (OT) 网络。OT 网络不同于 IT 网络。在OT 网络中,工作站用于管理关键的工厂设备和其它工厂操作。IT 网络通常服务于办公室和其它管理工作。从理论上来讲,IT 网络和OT 网络应该均为气隙网络。CISA 表示,获得对OT 网络的访问权限后,攻击者部署商用勒索软件以同时加密公司的IT 和OT 网络数据,以求在实施勒索之前造成最大损害。CISA 表示该勒索软件并不影响任何可编程逻辑控制器(PLCs),即直接和工厂设备交互的小型传感器和设备。然而,CISA表示其它相关工业进程(如人机接口HMI)、数据记录系统和选举服务器的数据无法由人工运营人员汇总并读取,从而导致其员工无法了解管道设施的部分运营。CISA表示,该管道运营商决定主动将运营关闭两天,作为攻击预防措施。即使该运营商的应急计划并未强制在遇到网络攻击时关闭运营,但它仍然选择这么做。CISA 官员表示,网络被关闭约两天的时间,之后运营恢复正常。- 威胁行动者从未获得控制或操纵操作活动的能力。受害者使读取和控制操作活动的 HMI 脱机。通过位于他处的单独的中央控制办公室保持可见性但未对控制操做活动提供工具。
- 受害者现有的应急响应计划主要关注对物理安全的威胁而非针对网络事件。尽管应急计划要求全面宣布紧急情况并立即关闭,但受害者认为该事件对运营产生的影响相对较小,因此决定执行有限的应急响应措施。这些措施包括从运营状态转变为关闭模式并提升了物理安全性。
- 尽管该网络攻击对运营产生的直接影响仅限于一款控制设施,但鉴于管道传输依赖关系,位于别处的其它压缩设施不得不停止操作活动,从而导致整个管道资产运营被关闭,持续约2天的时间。
- 尽管考虑到一系列物理应急场景,但受害者的应急响应计划并未具体考虑到网络攻击风险。因此,应急响应演练未能为员工提供处理网络攻击的决策经验。
- 受害者认为网络知识和可能的攻击场景之间存在差距,使得它未能将企业网络安全融入应急响应计划中。
虽然公告并未披露该勒索软件的名称,不过本月早些时候,网络安全公司 Dragos 发布报告披露了一款名为 EKANS (或 Snake)的新型勒索软件,它专用于和工业网络进程进行交互,不过该勒索软件并不和 PLCs 进行交互。在本文撰稿期间,并未有证据表明或证实该管道运营商遭 EKANS 影响,很大几率可能并非受 EKANS 影响,毕竟它非常少见而且并非像 CISA 在公告中说的那样是“商用勒索软件”。
https://www.zdnet.com/article/dhs-says-ransomware-hit-us-gas-pipeline-operator/
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。