俄羅斯 Malware 手法針對工業控制系統 研究人員警告電網遭受的威脅
安全研究人員在研究中發現了一種新的工業控制系統惡意軟體,被稱為「CosmicEnergy」,該軟體可用於干擾危急基礎架構和電網。「CosmicEnergy」的能力被譽為俄羅斯國家支援的「沙蠕蟲」駭客集團在 2016 年用來切斷烏克蘭電力的破壞性「Industroyer」惡意軟體的功能。研究人員在網路攻擊之外進行了「威脅追索」,才發現這種惡意軟體,這在現今的網路攻擊手法中相當罕見。
俄羅斯可能牽涉其中
根據美國 Mandiant 的研究,有機會是俄羅斯國家電訊網路運營商 Rostelecom 的網路安全分支機構 Rostelecom-Solar 開發並支援類似的模擬電力中斷訓練活動。Mandiant 指出,此惡意軟體可能是由承包商開發出來的紅隊測試工具,但是由於缺乏具體證據,是否有不同的駭客或攻擊者使用這些程式碼來開發這種惡意軟體,仍是可行的猜測。Mandiant 說,駭客經常適應並利用各種測試工具來進行現實世界的攻擊,而 CosmicEnergy 的功能也可與主要針對工業控制系統(ICS)的其他惡意軟體變體相比,因此對受影響的電網資產構成實際威脅。
威脅由來已久
雖然 Mandiant 表示尚未在實際操作環境中觀察到任何 CosmicEnergy 攻擊行為,但他們補充說,這種惡意軟體缺少發現功能,這意味著駭客在發動攻擊之前需要進行一些內部偵察,例如 IP 位址和認證等環境訊息。然而由於這種惡意軟體針對廣泛用於工業環境的 IEC-104 網路協議,而該協議還曾在 2016 年烏克蘭電力網路攻擊中成為目標,這也對從事電力傳輸和配電的組織構成了真正的威脅。
Mandiant 的這一發現出現在微軟透露中國政府支援的駭客入侵美國關鍵基礎架構之後。據報導,微軟稱其為「電壓颱風」的間諜集團,瞄準了美國領土上的關鍵基礎架構,而且在未來可能嘗試「干擾美國和亞洲地區之間的關鍵通訊基礎架構」。鑑於報告,美國政府表示正與其「五眼聯盟」夥伴共同識別潛在的入侵行為。微軟表示集團曾試圖存取通訊、製造、公用事業、運輸、建築、海事、政府、訊息技術和教育等部門的組織。
纖細入微 現實威脅待解決
研究人員警告說,這一發現對受影響的組織構成了重大威脅,因為此類發現很罕見,而且該惡意軟體主要利用 OT 環境不安全的設計特性,這種情況在短時間內不大可能得到解決。
建議和總結
隨著全球越來越依賴工業控制系統,特別是電網,這些惡意軟體的威脅日益增加。這些威脅對全球各地的政府和企業構成了實質性的威脅,這些部門需要與技術專家和戰略夥伴密切合作,透過加固對 OT 資產的監控以及採取其他安全措施,來保護自己不被利用,加固安全防護和應對能力。同時相關國家和組織應該積極展開對抗把關入侵的合作,建立全球合作的安全體系,深入研究惡意軟體攻擊方式,努力加快相關技術的研發,為抵擋這種潛在的威脅提供更好的保障。
