亲俄黑客活动分子针对工业控制系统(ICS)和其他操作技术(OT)系统发起一系列攻击后,美国、加拿大和英国的政府机构正在向关键基础设施组织提供建议。
网络安全机构 CISA 及其合作伙伴撰写的情况说明(https://www.cisa.gov/sites/default/files/2024-05/defending-ot-operations-against-ongoing-pro-russia-hacktivist-activity-508c.pdf)显示,黑客组织一直在试图破坏北美和欧洲的 ICS 和 OT 系统,特别是在供水和废水处理系统 (WWS)、水坝、能源和食品等领域和农业。
黑客主要针对暴露在互联网上的人机界面 (HMI),通常利用默认密码和过时的 VNC 软件。
自 2022 年以来,政府机构一直在追踪此类攻击,但新的警报是由最近的攻击引发的,亲俄罗斯的黑客活动分子将其归咎于这些攻击。
“具体来说,亲俄罗斯的黑客活动分子操纵了人机界面,导致水泵和鼓风机设备超出其正常运行参数。在每种情况下,黑客活动分子都超出了设定点,更改了其他设置,关闭了警报机制,并更改了管理密码以锁定 WWS 操作员。”警报中写道。“一些受害者经历了轻微的水箱溢出事件;然而,大多数受害者在事件发生后立即恢复了手动控制,并迅速恢复了操作。”
政府机构提到的水箱溢出事件可能涉及得克萨斯州的一个小镇,该小镇的代表表示公共供水系统没有任何危险。
自称是亲俄罗斯黑客活动分子的黑客最近也将法国的水务部门作为目标。他们声称袭击了一座水力发电厂,并发布了大坝的视频,并暗示他们可能造成了重大损失。然而,事实证明,他们的目标实际上是一家小工厂。
政府机构警告说,虽然迄今为止观察到的大多数活动仅产生“滋扰效应”,但黑客“能够利用技术对不安全和配置错误的 OT 环境构成物理威胁”。
Mandiant 最近的一份报告(https://services.google.com/fh/files/misc/apt44-unearthing-sandworm.pdf)证实了这一假设。虽然政府警报将 ICS 攻击与“亲俄罗斯黑客活动”联系起来,但 Mandiant 表示,至少其中一些“黑客活动分子”似乎与俄罗斯政府高度复杂的黑客单位有关,特别是 Sandworm (APT44),该单位以极具破坏性的 ICS 攻击而闻名。
CISA 及其合作伙伴本周发布的情况说明包括针对网络防御者、OT 设备制造商以及成为此类攻击目标的组织的建议。
