從Cyble網(wǎng)站獲悉,2024年12月6日,Cyble研究人員記錄了一個(gè)與俄羅斯有關(guān)的新威脅組織Z-Pentest,該組織一直在破壞關(guān)鍵基礎(chǔ)設(shè)施環(huán)境并篡改系統(tǒng)控制,Cyble還研究了俄羅斯老牌威脅組織“人民網(wǎng)絡(luò)軍”( People's Cyber Army,也稱為“俄羅斯重生網(wǎng)絡(luò)軍”)的活動(dòng)。
Cyble是一家美國(guó)網(wǎng)絡(luò)安全公司,專注于提供暗網(wǎng)監(jiān)控和數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)。它通過(guò)監(jiān)測(cè)暗網(wǎng)、深網(wǎng)和公開(kāi)網(wǎng)絡(luò),幫助企業(yè)組織識(shí)別網(wǎng)絡(luò)威脅,包括數(shù)據(jù)泄露、勒索軟件攻擊、釣魚(yú)活動(dòng)和其他網(wǎng)絡(luò)犯罪行為。
概述
兩個(gè)俄羅斯黑客行為組織正日益針對(duì)美國(guó)及其他地區(qū)的關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行攻擊,他們的攻擊行為遠(yuǎn)不止黑客行為組織通常進(jìn)行的分布式拒絕服務(wù)(DDoS)攻擊和網(wǎng)站篡改。這兩個(gè)組織分別是人民網(wǎng)絡(luò)軍隊(duì)(PCA)和Z-Pentest,在他們的Telegram頻道上發(fā)布了視頻,視頻顯示其成員在操作技術(shù)控制(OT)上進(jìn)行篡改,尤其是在石油、天然氣以及水系統(tǒng)領(lǐng)域。
這些由Cyble暗網(wǎng)研究人員記錄的聲明,聲稱這兩個(gè)組織可能主要是為了建立信譽(yù)而不是對(duì)目標(biāo)造成損害。但在上周,Z-Pentest聲稱他們的行動(dòng)已經(jīng)升級(jí),包括破壞了美國(guó)的一個(gè)油井系統(tǒng)。
這些組織還獲取了其他地區(qū)關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營(yíng)控制信息,特別是加拿大、澳大利亞、法國(guó)、韓國(guó)、臺(tái)灣、意大利、羅馬尼亞、德國(guó)和波蘭,聲稱對(duì)這些地區(qū)在烏克蘭與俄羅斯的戰(zhàn)爭(zhēng)中提供的支持進(jìn)行報(bào)復(fù)。
有些攻擊已被公開(kāi)報(bào)道,最著名的是人民網(wǎng)絡(luò)軍對(duì)水利設(shè)施的攻擊,但 Z-Pentest 聲稱針對(duì)能源部門的攻擊基本上沒(méi)有引起關(guān)注。目前尚不清楚俄羅斯黑客組織能夠造成多大的破壞,但鑒于美國(guó)網(wǎng)絡(luò)安全和情報(bào)機(jī)構(gòu)一再警告深度滲透美國(guó)關(guān)鍵基礎(chǔ)設(shè)施的行為,這些基礎(chǔ)設(shè)施環(huán)境應(yīng)被視為極易受到攻擊,并應(yīng)相應(yīng)加強(qiáng)防護(hù)。
Z-Pentest的活動(dòng)
Z-Pentest 似乎自10月以來(lái)才開(kāi)始活躍,但在短短兩個(gè)月內(nèi),Cyble的暗網(wǎng)研究團(tuán)隊(duì)記錄了該組織發(fā)起的10起攻擊行為,所有這些攻擊都涉及到訪問(wèn)關(guān)鍵基礎(chǔ)設(shè)施環(huán)境中的控制系統(tǒng)。他們的主要的 Telegram 頻道最近被關(guān)閉,但該組織仍在X平臺(tái)上保持活躍,并聲稱其總部設(shè)在塞爾維亞。
Z-Pentest 最近一次的攻擊,涉及破壞油井現(xiàn)場(chǎng)的關(guān)鍵系統(tǒng),包括負(fù)責(zé)水泵、石油氣體燃燒和石油收集的系統(tǒng)。一段6分鐘的屏幕錄像顯示了該設(shè)施控制系統(tǒng)的詳細(xì)截圖,顯示了在入侵期間被訪問(wèn)和更改的儲(chǔ)罐設(shè)定點(diǎn)、蒸汽回收指標(biāo)和操作儀表板。目前尚不清楚該石油設(shè)施位于何處,但其他兩個(gè)聲稱針對(duì)美國(guó)石油設(shè)施的攻擊似乎與已知的位置和公司信息相符。
在另外兩起聲稱發(fā)動(dòng)的攻擊中,該威脅組織發(fā)布了一段時(shí)長(zhǎng)4分鐘的屏幕錄像,在錄像中他們?cè)L問(wèn)了一系列操作控制系統(tǒng)。盡管黑客很可能已經(jīng)進(jìn)入了敏感環(huán)境,但他們能造成多大損害尚不清楚。例如,可編程邏輯控制器(PLC)通常包括安全特性,這些特性可以阻止破壞性行為的發(fā)生,但這些環(huán)境能夠被威脅行為者訪問(wèn)這一事實(shí)仍然令人擔(dān)憂。
Cyble觀察到,近幾個(gè)月來(lái)針對(duì)能源部門的威脅活動(dòng)有所增加,暗網(wǎng)聲稱網(wǎng)絡(luò)訪問(wèn)權(quán)限和零日漏洞已在暗網(wǎng)市場(chǎng)上出售。能源部門的網(wǎng)絡(luò)訪問(wèn)權(quán)限的憑證已在暗網(wǎng)上出售,這表明監(jiān)測(cè)憑證泄露可能是防止未來(lái)更大安全漏洞的重要防御措施。
人民網(wǎng)絡(luò)軍的活動(dòng)
更為人所知的“人民網(wǎng)絡(luò)軍”(PCA),也被稱為“俄羅斯重生網(wǎng)絡(luò)軍”, 同樣將目標(biāo)對(duì)準(zhǔn)了美國(guó)及其他地區(qū)的關(guān)鍵基礎(chǔ)設(shè)施控制。有跡象表明,PCA 和 Z-Pentes可能在合作。盡管該組織的許多活動(dòng)涉及分布式拒絕服務(wù)(DDoS)攻擊,但最近聲稱還入侵了美國(guó)一家環(huán)保清理公司的控制面板以及德克薩斯州和特拉華州的水系統(tǒng)。
一些OT安全專家認(rèn)為供水和廢水系統(tǒng)特別脆弱,容易遭受攻擊,部分原因是社區(qū)缺乏在沒(méi)有這些系統(tǒng)的情況下長(zhǎng)時(shí)間應(yīng)對(duì)的能力。人民網(wǎng)絡(luò)軍于8月底和9月發(fā)動(dòng)了兩次攻擊,發(fā)布了屏幕錄像,記錄顯示該組織篡改了德克薩斯州斯坦頓市斯坦頓水處理廠和特拉華州紐卡斯?fàn)査刂泼姘迳系南到y(tǒng)設(shè)置。
在德克薩斯州的案件中,黑客能夠打開(kāi)閥門并釋放未經(jīng)處理的水,但除此之外,人們認(rèn)為沒(méi)有造成其他損害。
總之,Cyble 記錄了人民網(wǎng)絡(luò)軍今年在美國(guó)和其他地方對(duì)水系統(tǒng)進(jìn)行了八次攻擊,其中包括1月份導(dǎo)致德克薩斯州阿伯納西和穆?tīng)柺娴膬?chǔ)水箱溢出的攻擊。該組織自2022年以來(lái)一直以烏克蘭盟友為目標(biāo),并于2024年7月受到美國(guó)政府的制裁。
結(jié)論
關(guān)鍵基礎(chǔ)設(shè)施組織的安全漏洞如今已成為一個(gè)有據(jù)可查的現(xiàn)象,但最近一系列針對(duì)能源和水利設(shè)施的攻擊表明,在利用這些脆弱環(huán)境方面出現(xiàn)了令人擔(dān)憂的升級(jí)。Z-Pentest 作為這一領(lǐng)域新出現(xiàn)的威脅行為者,應(yīng)該引起重視。因?yàn)樵摻M織已經(jīng)顯示出明顯的能力,能夠滲透這些環(huán)境并訪問(wèn)和修改操作控制面板。
關(guān)鍵基礎(chǔ)設(shè)施環(huán)境通常無(wú)法承受停機(jī)時(shí)間,而且報(bào)廢的設(shè)備通常在支持結(jié)束后很長(zhǎng)時(shí)間仍會(huì)繼續(xù)使用??紤]到這些挑戰(zhàn),以下是一些改善關(guān)鍵環(huán)境安全性的一般建議:
1.組織應(yīng)關(guān)注 ICS/OT 漏洞公告,并在補(bǔ)丁發(fā)布后立即應(yīng)用。及時(shí)了解供應(yīng)商更新和安全建議對(duì)于確保及時(shí)解決漏洞至關(guān)重要。
2.將 ICS/OT/SCADA 網(wǎng)絡(luò)與其他IT 基礎(chǔ)設(shè)施進(jìn)行隔離,有助于防止在發(fā)生入侵時(shí)出現(xiàn)橫向移動(dòng)。實(shí)施零信任架構(gòu)也是明智的,可以限制漏洞利用的可能性。不需要暴露在互聯(lián)網(wǎng)上的設(shè)備不應(yīng)暴露,而那些需要暴露在互聯(lián)網(wǎng)上的設(shè)備應(yīng)盡可能受到保護(hù)。
3.對(duì)所有人員(特別是有權(quán)使用OT系統(tǒng)的人員)進(jìn)行定期的網(wǎng)絡(luò)安全培訓(xùn),有助于防止人為錯(cuò)誤并降低社會(huì)工程攻擊的風(fēng)險(xiǎn)。
4.持續(xù)的漏洞掃描和滲透測(cè)試有助于在攻擊者利用漏洞之前識(shí)別和解決漏洞。使用威脅情報(bào)服務(wù)并及時(shí)了解漏洞情報(bào)報(bào)告對(duì)于主動(dòng)防御至關(guān)重要。威脅狩獵也應(yīng)該成為常規(guī)實(shí)踐,以檢測(cè)潛伏在關(guān)鍵環(huán)境和相鄰IT網(wǎng)絡(luò)中的高級(jí)持續(xù)性威脅(APT)。
5.制定健全的事件響應(yīng)計(jì)劃并定期進(jìn)行安全演習(xí),確保組織對(duì)可能出現(xiàn)的任何安全事件都能迅速、協(xié)調(diào)地做出反應(yīng)。
引用鏈接
1.https://cyble.com/blog/russian-hackti vists-target-energy-and-water-infra structure/