過去一周，業(yè)界對SolarWinds黑客攻擊的關(guān)注主要集中在美國聯(lián)邦政府部門，但是根據(jù)工控系統(tǒng)安全公司Dragos的最新報告，SolarWinds惡意軟件還感染了電氣、石油和制造行業(yè)的十多個關(guān)鍵基礎(chǔ)設(shè)施公司，這些公司也都在運行SolarWinds公司的軟件。

Dragos公司首席執(zhí)行官羅伯·李說，除了關(guān)鍵的基礎(chǔ)設(shè)施公司之外，SolarWinds軟件還感染了為這些公司提供服務(wù)的三家設(shè)備制造商。

威力巨大的“雙供應(yīng)鏈攻擊”

黑客在SolarWinds Orion植入木馬化后門的做法本身屬于軟件供應(yīng)鏈攻擊，這種攻擊威力巨大，可以“以點帶面”，輻射數(shù)以萬計的政府部門和企業(yè)。而針對美國關(guān)鍵基礎(chǔ)設(shè)施OEM制造商的攻擊，則屬于產(chǎn)業(yè)供應(yīng)鏈攻擊，能夠針對性地輻射到OEM供應(yīng)商的所有客戶（關(guān)鍵基礎(chǔ)設(shè)施）。這種軟件供應(yīng)鏈與產(chǎn)業(yè)供應(yīng)鏈疊加的“雙供應(yīng)鏈攻擊”，使得SolarWinds惡意軟件成為美國關(guān)鍵基礎(chǔ)設(shè)施迄今面臨的最嚴峻的網(wǎng)絡(luò)安全危機。

關(guān)鍵基礎(chǔ)設(shè)施的服務(wù)公司在業(yè)內(nèi)被稱為原始設(shè)備制造商（OEM）。他們往往可以遠程訪問客戶網(wǎng)絡(luò)的關(guān)鍵部分，擁有能夠更改網(wǎng)絡(luò)配置、安裝新軟件甚至控制關(guān)鍵操作的特權(quán)。這意味著入侵OEM設(shè)備供應(yīng)商的黑客可能會利用獲取帶賬戶憑據(jù)來控制關(guān)鍵的客戶流程。

“設(shè)備制造商對客戶網(wǎng)絡(luò)帶（雙向）訪問，通常用于控制渦輪機之類的敏感設(shè)備，可（被黑客）用于破壞行動，”羅伯·李說道?！暗牵诳蛢H僅獲取訪問權(quán)限并不意味著他知道該做什么或如何做。這并不意味著他們可以關(guān)掉電閘。（獲取訪問權(quán)）之后，黑客如果想實施破壞還需要做更多的事情?！?/p>

但是，入侵OEM設(shè)備制造商確實會放大基礎(chǔ)架構(gòu)的潛在風險。

國家安全局前關(guān)鍵基礎(chǔ)設(shè)施威脅情報分析師Lee說：“尤其令人擔憂的是…入侵一個OEM設(shè)備制造商，可能會為黑客打開進入數(shù)千個組織的大門。”“例如，受到攻擊的兩家OEM設(shè)備制造商可以訪問全球數(shù)百個工控系統(tǒng)網(wǎng)絡(luò)。”

Lee指出，在某些情況下，OEM設(shè)備制造商不僅有訪問客戶網(wǎng)絡(luò)的權(quán)限，實際上還直接通過SolarWinds軟件感染了客戶。因為這些設(shè)備制造商不僅在自己的網(wǎng)絡(luò)上使用SolarWinds，還將其安裝在客戶網(wǎng)絡(luò)上以管理和監(jiān)視工控系統(tǒng)網(wǎng)絡(luò)，很多客戶甚至對此毫不知情。

SolarWinds在3月遭到入侵，軟件更新被木馬化，攻擊者能夠訪問任何下載這些更新的用戶的網(wǎng)絡(luò)。美國政府官員（例如國務(wù)卿蓬佩奧）已將這次入侵與俄羅斯聯(lián)系起來。

網(wǎng)絡(luò)安全公司FireEye的安全研究人員將這個木馬后門命名為SUNBURST（日爆）。

FireEye首席執(zhí)行官凱文·曼迪亞（Kevin Mandia）表示，攻擊者只進入了被后門感染的數(shù)千個實體中的約50個。

Lee說，關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的感染不僅發(fā)生在公司的IT網(wǎng)絡(luò)上，而且有時還發(fā)生在管理關(guān)鍵功能的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)上。

但是，目前沒有證據(jù)表明黑客利用SolarWinds軟件中的后門來訪問被感染了的15個電力、石油、天然氣和制造企業(yè)。但是Lee指出，如果攻擊者確實訪問并滲透進入了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)，人們也很難發(fā)現(xiàn)，因為關(guān)鍵基礎(chǔ)架構(gòu)實體通常不會對其控制系統(tǒng)網(wǎng)絡(luò)進行大量的日志記錄和監(jiān)視。

“在這些ICS網(wǎng)絡(luò)中，大多數(shù)組織都沒有（足夠的）數(shù)據(jù)和可見性來真正尋找漏洞，”Lee說。“因此，他們可能會確定自己是否受到威脅，但是幾乎沒有受害企業(yè)有網(wǎng)絡(luò)日志可用來確定（他們的網(wǎng)絡(luò)中）是否存在后續(xù)攻擊活動?！?/p>

Lee進一步說，所有受感染的企業(yè)“都已假設(shè)受到威脅，并在進行必要的威脅搜尋工作”。但是，如果沒有日志記錄，很難跟蹤黑客在網(wǎng)絡(luò)中的活動，企業(yè)只能通過一些所謂的惡意行為來判斷是否受到威脅。“這是一個深入地下，難以根除的危險對手。”

如果黑客使用受感染的OEM設(shè)備制造商的憑據(jù)和特權(quán)訪問進入，則客戶想要發(fā)現(xiàn)黑客的活動可能更加困難，因為很多流量和活動看起來是合法的。

據(jù)悉，Dragos公司已經(jīng)通知三個被感染的OEM設(shè)備制造商，以及有關(guān)政府官員和當選總統(tǒng)喬·拜登的新政府。美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）上周發(fā)布的警報指出，美國的關(guān)鍵基礎(chǔ)設(shè)施實體受到SolarWinds木馬化軟件的威脅，但沒有具體指出受影響的行業(yè)，也沒有指出包括關(guān)鍵基礎(chǔ)設(shè)施的OEM設(shè)備供應(yīng)商。

參考鏈接：https://new.qq.com/omn/20201228/20201228A089AY00.html

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:安全牛

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負責人：張明